02.07.2008

Мобильный телефон как средство обработки персональных данных

Начнем с исходных данных. Возьмем мой смартфон Nokia E61i. В нем есть (помимо всего прочего) телефонная книжка с персональными данными моих коллег по работе, а также руководителей служб ИБ разных компаний, с которыми я общаюсь и которые работают в разных регионах нашей необъятной Родины. Число таких контактов невелико - всего 2-3 сотни. Теперь посмотрим, что это значит для меня с точки зрения закона "О персональных данных".

1. Мой телефон является ИСПДн, которую можно отнести к разряду однопользовательских.

2. Личными и семейными нуждами пользование телефона не ограничивается.

3. Класс данной ИСПДн вычисляется как функция от объема ПДн и категории ПДн. Значение объема для меня будет не 3, как можно было бы предположить (менее 1000 субъектов ПДн), а 1, т.к. эти субъекты разбросаны по разным субъектам РФ. Категория будет вторая. Таким образом, итоговый класс моей ИСПДн будет К1.

4. Что я должен сделать для защиты своей ИСПДн? Немало. Я должен:
- защищать как сами ПДн в телефонной книжке, так и все телефонные переговоры с субъектами ПДн. Причем последнее должно выполняться сертифицированными средствами криптографической защиты информации
- средства защиты моего телефона должны иметь сертификат ФСТЭК
- ПО моего телефона (как минимум телефонная книжка) должно быть сертифицировано на отсутствие недекларированных возможностей
- провести аттестацию своего телефона
- иметь лицензию ФСБ на шифрование (ведь я обязан шифровать ПДн)
- иметь на телефоне IDS, обнаруживающие аномалии
- иметь МСЭ 3-го класса
- реализовать замкнутую программную среду
- автоматически идентифицировать и аутентифицировать аппаратные составляющие моего телефона
- реализовать ролевое управление системой защиты своего телефона
- контролировать информационные потоки к системе защиты своего телефона
- очищать оперативную память после завершения работы с ПДн
- маркировать и регистрировать все печатаемые с телефона данные (а посылать на печать он умеет)
- автоматически контролировать корректность работы аппаратных частей телефона
- реализовать автоматичесую проверку на наличие ПМВ при импорте в ИСПДн всех программных средств, которые могут содержать ВП, путем проверочной их активизации в специальной изолированной виртуальной среде, моделирующей среду ИСПДн, с анализом их кода методами трассировки и отладки непосредственно во время активного состояния программных средств
- установить на телефон Honeypot
- идентифицировать и аутентифицировать вход в систему защиты, а также любую операцию управления
- регистрировать запуск/останов работы всех подсистем системы защиты
- регистрация каждой операции управления системой защиты
- установить на телефон поведенческую HIPS
- автоматически блокировать обнаруженные атаки
- контролировать целостность системы защиты, ее обновлений и компонентов
- обеспечить физическую охрану телефона
- регулярно сканировать телефон на предмет наличия в нем уязвимостей
- иметь второй телефон с копией системы защиты для ее периодического обновления и контроля работоспособности
- и еще по мелочи...

5. Что у меня все-таки реализовано:
- блокирование терминала после заданного интервала неактивности
- антивирусный контроль
- идентификация при входе в телефон по паролю условно-постоянного действия не короче 6 символов.

И как позвольте все это выполнить? А ведь у меня смартфон еще из продвинутых и я, по идее, могу на него поставить какие-нибудь защитные системы (если бы они существовали в природе). А что делать пользователям обычных телефонов?

15 коммент.:

arkanoid комментирует...

Ну антивирус-то зачем на платформе, для которой еще ни одного вируса не существует? ;-)

Ригель комментирует...

Алексей, я сейчас очень зажат по времени, но на беглый взгляд это не ИСПДН, т.к. физические лица не идентифицируются - Ф.И.О., места работы и номера телефона недостаточно, чтобы однозначно указать на человека, нужна еще какая-нибудь система с помощью которой это можно будет сделать - например, база опсоса или, скажем, база налоговой (чтобы выявить, что такое сочетания Ф.И.О. уникально). Вот она-то и есть ИСПДН, а твоя Нокия просто Нокия.
ФИО/фирма/должность/контакты напечатаны на всех визитках мира, однако визиткодатели не передают вместе с визиткой письменное согласие на обработку, а визиткополучатели не бегут ставиться на учет в качестве операторов. А ведь в большинстве стран мира законодательство о персональных данных точно такое же, в Евросоюзе особенно.

Алексей Лукацкий комментирует...

Ну антивирус-то зачем на платформе, для которой еще ни одного вируса не существует? ;-)

А он еще и антиспам заодно реализует ;-)

arkanoid комментирует...

Что, были случаи, когда он успешно блокировал спам по SMS/MMS? ;-)

Алексей Лукацкий комментирует...

однако визиткодатели не передают вместе с визиткой письменное согласие на обработку

А у тебя не автоматизированная обработка в данном случае.

А ведь в большинстве стран мира законодательство о персональных данных точно такое же, в Евросоюзе особенно.

Конвенция одна, подзаконные акты разные.

на беглый взгляд это не ИСПДН, т.к. физические лица не идентифицируются

Согласно определению "персональные данные" - это любая информация об определенном или поддающемся определению физическом лице. Это определение находится ВЫШЕ чем определение 152 ФЗ.

Алексей Лукацкий комментирует...

Что, были случаи, когда он успешно блокировал спам по SMS/MMS?

Регулярно ;-) Когда едешь заграницу и тебе какой-то оператор присылает напоминалки про то, что он самый лучший в этом регионе ;-)

Ригель комментирует...

> это любая информация об
> определенном или поддающемся
> определению физическом лице

От замены "бумажной" на "автоматизированную", "идентифицируемого" на "определяемого" и "относящейся" на "об" суть дела не меняется - укажи-ка на конкретное физическое лицо сначала.

У тебя в контактах есть имярек (Василий, условно говоря, Пупкин), а также место работы и телефон.
Я тебе предложу его опознать в группе лиц или распечатаю все адреса, по которым проживают Василии Пупкины - ну-ка покажи пальцем, опираясь только на свою книжку-то.

Алексей Лукацкий комментирует...

А ты считаешь, что "опознать" можно только физически? Путем предъявления трудовой книжки?

Ригель комментирует...

Алексей, идентификация физического лица - это однозначный линк на конкретный организм. Если Вы не можете сказать, к какому именно Пупкину относятся Ваши знания, что он CSO Рогов&Копыт с телефоном 31415926, то это ни разу не персональные данные.

Офтопик по итогам прослушивания презентации:
а) можно точную формулировку про межрегиональных/мономуниципальных субъектов?
б) примером многопользовательской ИСПДН с одинаковыми пользовательскими правами является клиентская база (тех, кто с физиками работает), особенно если в Экселе.

swan комментирует...

по поводу телефона... и так.. масла подлить ...

вот основной перечень документов по ПДн

1.1. Указ Президента Российской Федерации № 188 «Об утверждении перечня сведений конфиденциального характера» (в ред. Указа Президента РФ от 23.09.2005 N 1111).
1.2. Федеральный Закон № 149-ФЗ от 27 июля 2006 года «Об информации, информационных технологиях и о защите информации».
1.3. Федеральный Закон № 152-ФЗ от 27 июля 2006 года «О персональных данных».
1.4. Постановление Правительства Российской Федерации № 781 от 17 ноября 2007 г. «Об утверждении положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных».
1.5. Приказы от 13 февраля 2008 года - ФСТЭК России № 55, ФСБ России № 86, Министерства Информационных Технологий и Связи России № 20, «Об утверждении порядка проведения классификации информационных систем персональных данных».
1.6. Приказ № 154 от 28 марта 2008 г. Федеральной службы по надзору в сфере массовых коммуникаций, связи и охраны культурного наследия «об утверждении положения о ведении реестра операторов, осуществляющих обработку персональных данных».
1.7. Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных. Утверждена заместителем директора ФСТЭК России 14.02.2008.*
1.8. Рекомендации по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных. Утверждена заместителем директора ФСТЭК России 15.02.2008. *
1.9. Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных. Утверждена заместителем директора ФСТЭК России 15.02.2008. *
1.10. Основные мероприятия по организации и техническому обеспечению безопасности персональных данных, обрабатываемых в информационных системах персональных данных. Утверждена заместителем директора ФСТЭК России 15.02.2008. *

итак...

в соответствии с 1.1. ПДН => конфиденциальная информация...

непосредственно у Вас лично есть лицензия по конфиденциалке ? ))

так вот ФЗ говорит о чем...
2. Действие настоящего Федерального закона не распространяется на отношения, возникающие при:
1) обработке персональных данных физическими лицами исключительно для личных и семейных нужд, если при этом не нарушаются права субъектов персональных данных;
2) организации хранения, комплектования, учета и использования содержащих персональные данные документов Архивного фонда Российской Федерации и других архивных документов в соответствии с законодательством об архивном деле в Российской Федерации;
3) обработке подлежащих включению в единый государственный реестр индивидуальных предпринимателей сведений о физических лицах, если такая обработка осуществляется в соответствии с законодательством Российской Федерации в связи с деятельностью физического лица в качестве индивидуального предпринимателя;
4) обработке персональных данных, отнесенных в установленном порядке к сведениям, составляющим государственную тайну.

тоесть можете телефоном пользоваться спокойно... или почти спокойно...

хотелось бы перевести тему в другую плоскость...

так как ПДн = конфиденциалка... то как дружат между собой требования по защите ПДн и требования по защите конфиденциалки...

swan комментирует...

да.. еще интересный вопрос... про связь с конфиденциалкой...

а если я не использую инф систему а просто на бумажке пишу в ежедневник... я его как вести должен в соответствии с чем ?!

Алексей Лукацкий комментирует...

Алексей, идентификация физического лица - это однозначный линк на конкретный организм.

Это из закона? Или личная точка зрения?

можно точную формулировку про межрегиональных/мономуниципальных субъектов?

в информационной системе одновременно обрабатываются персональные данные более чем 100 000 субъектов персональных данных или персональные данные субъектов персональных данных в пределах субъекта Российской Федерации или Российской Федерации в целом

И т.д.

примером многопользовательской ИСПДН с одинаковыми пользовательскими правами является клиентская база (тех, кто с физиками работает), особенно если в Экселе

Только она у тебя лежит на компе, к которому доступ с разными правами. Значит защищаешь как с разными правами.

непосредственно у Вас лично есть лицензия по конфиденциалке ? ))

А мне зачем? Я не юрлицо и не частный предприниматель.

тоесть можете телефоном пользоваться спокойно...

Я же четко написал, что я пользуюсь телефоном не в личных целях. А остальные подпункты к телефону не относятся.

как дружат между собой требования по защите ПДн и требования по защите конфиденциалки...

А они у нас есть? Или имеется ввиду СТР-К? Так они рекомендация, а ПДн - обязаловка.

если я не использую инф систему а просто на бумажке пишу в ежедневник... я его как вести должен в соответствии с чем ?!

Если есть признаки, схожие с автоматизированной обработкой, то требования по ПДн к вам тоже применяются.

swan комментирует...

СТР-К называется как...
СПЕЦИАЛЬНЫЕ ТРЕБОВАНИЯ и ....

это извините, обязаловка...
и лицензируемый вид деятельности...

по сути Вы правы...
если...
1) обработке персональных данных физическими лицами исключительно для личных и семейных нужд, если при этом не нарушаются права субъектов персональных данных;

под этот пункт Вы не попадаете...
то будьте добры все указанное выполнять... !!!

Алексей Лукацкий комментирует...

СТР-К. Пункт 2.3 "При проведении работ по защите негосударственных информационных ресурсов, составляющих коммерческую тайну, банковскую тайну и т.д., требования настоящего документа носят рекомендательный характер."

swan комментирует...

вот всегда так...
все время какие то недоговоренности...
по идее я должен бы уточнить ту сферу про которую всетаки требования обязательны и посмотреть что ПДн тоже обязаловка... но не буду и так понятно всем...

вот вопрос и возникает как должны дружить между собой две обязаловки...
ответа пока нет... в первую очередь у самих решателей...