SlideShare a Scribd company logo

Защита ИСПДН

MNUCIB
MNUCIB

Актуальность проблемы защиты информационных систем персональных данных

Education
1 of 21
Download to read offline
Актуальность проблемы защиты информационных систем персональных данных Зырянов Александр МНУЦИБ ВНИИПВТИ
Персональные данные (ПДн) – ФЗ-152 «О персональных данных» Персональными данными является любая информация, с помощью которой можно однозначно идентифицировать физическое лицо (субъекта ПДн): • фамилия, имя, отчество; • год, месяц, дата и место рождения; • адрес проживания; • семейное, социальное, имущественное положение; • образование, профессия, доходы и пр. 2
Обработка персональных данных Обработка персональных данных - действия (операции) с персональными данными, включая • сбор, • систематизацию, • накопление, • хранение, • уточнение (обновление, изменение), • использование, • распространение (в том числе передачу), • обезличивание, • блокирование, • уничтожение персональных данных 3
Защита ПДн • Защита ПДн – требование законодательства • Трудовой кодекс, глава 14 «Защита персональных данных работника» • Федеральный закон РФ от 27 июля 2006 г. N 152-ФЗ «О персональных данных» • Подзаконные акты Правительства РФ и Министерства связи и массовых коммуникаций • Постановление Правительства Российской Федерации от 17 ноября 2007 года № 781 «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных»; • нормативно-методические документы ФСТЭК, ФСБ, Роскомнадзора; • Защита ПДн – требование бизнеса (риски для бизнес- процессов) 4
Риски обработки ПДн • Трудоемкость обеспечения безопасности персональных данных (Приказ ФСТЭК России № 58 от 5.02.2010); • Высокая стоимость реализации мер защиты (необходимость использования сертифицированных СЗИ – Постановление Правительства РФ № 330 от 15 мая 2010г.); • Увеличение количества контролирующих органов, расширение тематики возможных (плановых и внеплановых) проверок; • Административная и уголовная ответственность за утечку ПДн. 5
Информационные ресурсы с точки зрения ПДн • Системы кадрового и бухгалтерского учета • Базы данных клиентов • Базы данных контактов юридических лиц- контрагентов (CRM и пр.) • Контактные данные почтовой системы и почтовых клиентов сотрудников 6
Конфиденциальность ПДн (ФЗ № 152) Конфиденциальность  заключение договоров с контрагентами; персональных данных - добровольное медицинское и обязательное для пенсионное страхование соблюдения оператором … работников;  передача ПДн в требование не допускать правоохранительные органы (ФЗ их распространение без «О противодействии согласия субъекта легализации(отмыванию) доходов, полученных преступным путем, персональных данных и финансированию терроризма»); или наличия иного  приобретение билетов для законного основания командировок и бронирование гостиниц для сотрудников;  и пр… 7
О категориях персональных данных • Общедоступные ПДн • Специальные категории ПДн • Биометрические персональные данные • Категории персональных данных, обрабатываемых в ИСПДн: • Категория 1 – персональные данные, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных и философских убеждений, состояния здоровья, интимной жизни. • Категория 2 – персональные данные, позволяющие идентифицировать субъекта ПДн и получить о нем дополнительную информацию, за исключением персональных данных, относящихся к категории 1. • Категория 3 – персональные данные, позволяющие идентифицировать субъекта ПДн. • Категория 4 – обезличенные и (или) общедоступные персональные данные. 8
Классы ИСПДн (Приказ ФСТЭК России, ФСБ РФ, Миникомсвязь России от 13.02.08 г. № 55/86/20 ) 1000 - <1000 > 100 000 100000 Категория 4 K4 K4 K4 Категория 3 K3 K3 K2 Категория 2 K3 K2 K1 Категория 1 K1 K1 K1 9
Автоматизированная обработка? • Неавтоматизированная обработка ПДн • Обработка персональных данных, содержащихся в информационной системе персональных данных либо извлеченных из такой системы, считается осуществленной без использования средств автоматизации (неавтоматизированной), если действия с персональными данными, осуществляются при непосредственном участии человека. (Постановление Правительства Российской Федерации от 15 сентября 2008 г. N 687 г.) • Автоматизированная обработка персональных данных • Операции с ПДн, осуществляемые полностью или частично с помощью средств автоматизации (Постановление Правительства РФ от 17 ноября 2007 г. N 781 «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных») 10
Положение об обеспечении безопасности ПДн при их обработке в ИСПДн Статья 11. При обработке персональных данных в информационной системе должно быть обеспечено: a) проведение мероприятий, направленных на предотвращение несанкционированного доступа к персональным данным и (или) передачи их лицам, не имеющим права доступа к такой информации; б) своевременное обнаружение фактов несанкционированного доступа к персональным данным; в) недопущение воздействия на технические средства автоматизированной обработки персональных данных, в результате которого может быть нарушено их функционирование; г) возможность незамедлительного восстановления персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним; д) постоянный контроль за обеспечением уровня защищенности персональных данных. 11
Положение об обеспечении безопасности ПДн при их обработке в ИСПДн Статья 12. Мероприятия по обеспечению безопасности персональных данных включают в себя: а) определение угроз безопасности персональных данных …, формирование на их основе модели угроз; б) разработку на основе модели угроз системы защиты персональных данных …; в) проверку готовности средств защиты информации …; г) установку и ввод в эксплуатацию средств защиты информации …; д) обучение лиц, использующих средства защиты информации; е) учет применяемых средств защиты информации …; ж) учет лиц, допущенных к работе с персональными данными в информационной системе; з) контроль за соблюдением условий использования средств защиты информации …; 12
Подготовка к обеспечению безопасности персональных данных Оценка соответствия средств ЗИ подготовка рекомендаций по построению ИСПДн Акт классификации (типовые и специальные ИСПДн)  Типовая модель угроз безопасности ПДн  Модель нарушителя  Определение исходной защищенности и вероятности реализации угрозы  Актуализированная модель угроз безопасности ПДн  Разработка организационно – технических мероприятий по защите ПДн  Техническое задание на разработку СЗИ 13
Требования по защите ИСПДн • Мероприятия по защите ПДн при их обработке в ИСПДн от НСД, включают: Управление доступом Регистрацию и учет Обеспечение целостности Контроль отсутствия недекларированных возможностей (НДВ) Антивирусную защиту Обеспечение безопасного межсетевого взаимодействия ИСПДн Анализ защищенности Обнаружение вторжений 14
Требования по защите ИСПДн Подсистемы Класс ИСПДн Управления доступом Регистрации и учета Обеспечения целостности Однопользовательская 3Б 3А 3Б Многопользовательская с равными 2Б 2А 2Б K1 правами Многопользовательская с разными 1Г 1Г 1Г правами Однопользовательская 3Б 3Б 3Б Многопользовательская с равными K2 2Б 2Б 2Б правами Многопользовательская с разными 1Д 1Д 1Д правами Однопользовательская 3Б 3Б 3Б Многопользовательская с равными K3 2Б 2Б 2Б правами Многопользовательская с разными 1Д 1Д 1Д правами 15
Внутренние нормативные документы по защите ИСПДн Приказ «Об организации работы по защите конфиденциальной информации и персональных данных» •Перечень сведений конфиденциального характера •Перечень защищаемых информационных ресурсов • Инструкция по организации работы с материальными носителями персональных данных •Положение о порядке обработки персональных данных работников •Инструкция о порядке удаления (изменения) персонифицированных записей из (в) информационных систем персональных данных •Инструкция по организации работы с электронными носителями персональных данных Приказ «Об организации работы с персональными данными» •Положение о персональных данных •Перечень помещений, в которых осуществляется обработка персональных данных с указанием лиц, имеющих допуск в данные помещения •Список лиц, ответственных за организацию защиты конфиденциальной информации и за разработку, проведение мероприятий, направленных на выполнение требований • Список лиц, имеющих доступ к персональным данным •Состав комиссии по классификации информационных систем персональных данных и автоматизированных систем Должностные инструкции сотрудников Модель угроз безопасности персональных данных Акт о классификации ИСПДн Положение об обеспечении безопасности персональных данных при их обработке Описание системы защиты, обеспечивающей нейтрализацию угроз для соответствующего класса ИСПДн Журналы учета средств и методов защиты информации Журнал проверки исправности и технического обслуживания 16
КОНТРОЛЬ И НАДЗОР ЗА ОБРАБОТКОЙ ПЕРСОНАЛЬНЫХ ДАННЫХ • Уполномоченный орган по защите прав субъектов персональных данных – Роскомнадзор • Федеральный орган исполнительной власти, уполномоченный в области обеспечения безопасности – ФСБ РФ • Федеральный орган исполнительной власти, уполномоченный в области противодействия техническим разведкам и технической защиты информации – ФСТЭК России 17
ОТВЕТСТВЕННОСТЬ ЗА НЕПРАВОМЕРНОЕ ОБРАЩЕНИЕ С ПЕРСОНАЛЬНЫМИ ДАННЫМИ • Статья 13.11. Нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах • влечет предупреждение или наложение административного штрафа на граждан в размере от трехсот до пятисот рублей; на должностных лиц - от пятисот до одной тысячи рублей; на юридических лиц - от пяти тысяч до десяти тысяч рублей. • Статья 13.13.1 Незаконная деятельность в области защиты информации • влечет наложение административного штрафа … на должностных лиц - от двух тысяч до трех тысяч рублей с конфискацией средств защиты информации или без таковой; на юридических лиц - от десяти тысяч до двадцати тысяч рублей с конфискацией средств защиты информации или без таковой. • Статья 19.5.2 • влечет наложение административного штрафа на должностных лиц в размере от пяти тысяч до десяти тысяч рублей или дисквалификацию на срок до трех лет; на юридических лиц - от двухсот тысяч до пятисот тысяч рублей 18
ОТВЕТСТВЕННОСТЬ ЗА НЕПРАВОМЕРНОЕ ОБРАЩЕНИЕ С ПЕРСОНАЛЬНЫМИ ДАННЫМИ • Глава 5 статья 23.3. Уполномоченный орган по защите прав субъектов персональных данных имеет право: • 2) принятие в установленном законодательством РФ порядке мер по приостановлению или прекращению обработки персональных данных, осуществляемой с нарушением требований настоящего Федерального закона; • 4) направлять заявление в орган, осуществляющий лицензирование деятельности оператора, для рассмотрения вопроса о принятии мер по приостановлению действия или аннулированию соответствующей лицензии в установленном законодательством Российской Федерации порядке, если условием лицензии на осуществление такой деятельности является запрет на передачу персональных данных третьим лицам без согласия в письменной форме субъекта персональных данных; направлять в органы прокуратуры, другие правоохранительные органы материалы для решения вопроса о возбуждении уголовных дел по признакам преступлений, связанных с нарушением прав субъектов персональных данных, в соответствии с подведомственностью; 19
ОТВЕТСТВЕННОСТЬ ЗА НЕПРАВОМЕРНОЕ ОБРАЩЕНИЕ С ПЕРСОНАЛЬНЫМИ ДАННЫМИ • Статья 137. Незаконное собирание или распространение сведений о частной жизни лица, составляющих его личную или семейную тайну, без его согласия либо распространение этих сведений в публичном выступлении, публично демонстрирующемся произведении или средствах массовой информации • Статья 171. Незаконное предпринимательство • 1. Осуществление предпринимательской деятельности … без специального разрешения (лицензии) в случаях, когда такое разрешение (лицензия) обязательно, или с нарушением лицензионных требований и условий, если это деяние … сопряжено с извлечением дохода в крупном размере • 2. То же деяние: а) совершенное организованной группой; б) сопряженное с извлечением дохода в особо крупном размере 20
Спасибо за внимание! Вопросы? info@mnucib.ru alexander.zyryanov@mnucib.ru

Recommended

Softline: защита персональных данных
Softline: защита персональных данныхSoftline: защита персональных данных
Softline: защита персональных данныхSoftline
 
Защита персональных данных. Презентация с вебинара 29.11.2012
Защита персональных данных. Презентация с вебинара 29.11.2012Защита персональных данных. Презентация с вебинара 29.11.2012
Защита персональных данных. Презентация с вебинара 29.11.2012LETA IT-company
 
Защита персональных данных
Защита персональных данныхЗащита персональных данных
Защита персональных данныхУчебный центр "Эшелон"
 
Состав и содержание мер по обеспечению безопасности персональных данных
Состав и содержание мер по обеспечению безопасности персональных данныхСостав и содержание мер по обеспечению безопасности персональных данных
Состав и содержание мер по обеспечению безопасности персональных данныхПавел Семченко
 
Защита персональных данных
Защита персональных данныхЗащита персональных данных
Защита персональных данныхАлексей Кураленко
 
Ксения Шудрова - Защита персональных данных
Ксения Шудрова - Защита персональных данныхКсения Шудрова - Защита персональных данных
Ксения Шудрова - Защита персональных данныхKsenia Shudrova
 
Защита персональных данных в информационных системах
Защита персональных данных в информационных системахЗащита персональных данных в информационных системах
Защита персональных данных в информационных системахDimOK AD
 
тб меры защиты пдн при скзи (проект)
тб меры защиты пдн при скзи (проект)тб меры защиты пдн при скзи (проект)
тб меры защиты пдн при скзи (проект)Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 

Recommended

Softline: защита персональных данных
Softline: защита персональных данныхSoftline: защита персональных данных
Softline: защита персональных данныхSoftline
 
Защита персональных данных. Презентация с вебинара 29.11.2012
Защита персональных данных. Презентация с вебинара 29.11.2012Защита персональных данных. Презентация с вебинара 29.11.2012
Защита персональных данных. Презентация с вебинара 29.11.2012LETA IT-company
 
Защита персональных данных
Защита персональных данныхЗащита персональных данных
Защита персональных данныхУчебный центр "Эшелон"
 
Состав и содержание мер по обеспечению безопасности персональных данных
Состав и содержание мер по обеспечению безопасности персональных данныхСостав и содержание мер по обеспечению безопасности персональных данных
Состав и содержание мер по обеспечению безопасности персональных данныхПавел Семченко
 
Защита персональных данных
Защита персональных данныхЗащита персональных данных
Защита персональных данныхАлексей Кураленко
 
Ксения Шудрова - Защита персональных данных
Ксения Шудрова - Защита персональных данныхКсения Шудрова - Защита персональных данных
Ксения Шудрова - Защита персональных данныхKsenia Shudrova
 
Защита персональных данных в информационных системах
Защита персональных данных в информационных системахЗащита персональных данных в информационных системах
Защита персональных данных в информационных системахDimOK AD
 
тб меры защиты пдн при скзи (проект)
тб меры защиты пдн при скзи (проект)тб меры защиты пдн при скзи (проект)
тб меры защиты пдн при скзи (проект)Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
защита персональных данных
защита персональных данныхзащита персональных данных
защита персональных данныхСергей Сергеев
 
Защита персональных данных в области рекрутмента
Защита персональных данных в области рекрутментаЗащита персональных данных в области рекрутмента
Защита персональных данных в области рекрутментаSPIBA
 
GDPR (scope) - Russia
GDPR (scope) - RussiaGDPR (scope) - Russia
GDPR (scope) - RussiaAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
пр мастер класс по пдн 2014-04
пр мастер класс по пдн 2014-04пр мастер класс по пдн 2014-04
пр мастер класс по пдн 2014-04Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
пр GDPR breach
пр GDPR breachпр GDPR breach
пр GDPR breachAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
анализ соответствия ТБ и зПДн
анализ соответствия ТБ и зПДнанализ соответствия ТБ и зПДн
анализ соответствия ТБ и зПДнSergey Borisov
 
пр про пдн для рбк 2014 11
пр про пдн для рбк 2014 11пр про пдн для рбк 2014 11
пр про пдн для рбк 2014 11Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Лицензирование в области ИБ
Лицензирование в области ИБЛицензирование в области ИБ
Лицензирование в области ИБАлексей Кураленко
 
LETA_Мастер-класс_ПДн_АНХ_Левцов
LETA_Мастер-класс_ПДн_АНХ_ЛевцовLETA_Мастер-класс_ПДн_АНХ_Левцов
LETA_Мастер-класс_ПДн_АНХ_Левцовgueste83e28
 
Безопасность платежей 2017
Безопасность платежей 2017Безопасность платежей 2017
Безопасность платежей 2017Ksenia Shudrova
 
Информационная безопасность. Лекция 5.
Информационная безопасность. Лекция 5.Информационная безопасность. Лекция 5.
Информационная безопасность. Лекция 5.Александр Лысяк
 
Решения Cisco для защиты персональных данных
Решения Cisco для защиты персональных данныхРешения Cisco для защиты персональных данных
Решения Cisco для защиты персональных данныхCisco Russia
 
Защита ГИС
Защита ГИСЗащита ГИС
Защита ГИСАлексей Кураленко
 
Решения Cisco для защиты персональных данных
Решения Cisco для защиты персональных данныхРешения Cisco для защиты персональных данных
Решения Cisco для защиты персональных данныхCisco Russia
 
роскомнадзор
роскомнадзорроскомнадзор
роскомнадзорExpolink
 
О.Б. Гранов (ГБУЗ СО «МИАЦ») - "Защита информации в РФ, требования к ЛПУ"
О.Б. Гранов (ГБУЗ СО «МИАЦ») - "Защита информации в РФ, требования к ЛПУ"О.Б. Гранов (ГБУЗ СО «МИАЦ») - "Защита информации в РФ, требования к ЛПУ"
О.Б. Гранов (ГБУЗ СО «МИАЦ») - "Защита информации в РФ, требования к ЛПУ"Expolink
 
Приказ ФСТЭК №21 от 18.02.2013 Об утверждении Состава и содержания организаци...
Приказ ФСТЭК №21 от 18.02.2013 Об утверждении Состава и содержания организаци...Приказ ФСТЭК №21 от 18.02.2013 Об утверждении Состава и содержания организаци...
Приказ ФСТЭК №21 от 18.02.2013 Об утверждении Состава и содержания организаци...Alexey Komarov
 
нн 2013 chugunov_v 1
нн 2013 chugunov_v 1нн 2013 chugunov_v 1
нн 2013 chugunov_v 1Ekaterina Morozova
 
Интернет-магазин как информационная система обработки персональных данных
Интернет-магазин как информационная система обработки персональных данныхИнтернет-магазин как информационная система обработки персональных данных
Интернет-магазин как информационная система обработки персональных данныхDemian Ramenskiy
 
Сертификация и персональные данные
Сертификация и персональные данныеСертификация и персональные данные
Сертификация и персональные данныеУчебный центр "Эшелон"
 
Изменения в законодательстве по защите персональных данных: как выполнить нов...
Изменения в законодательстве по защите персональных данных: как выполнить нов...Изменения в законодательстве по защите персональных данных: как выполнить нов...
Изменения в законодательстве по защите персональных данных: как выполнить нов...Security Code Ltd.
 
Тренды и угрозы ИБ (Код ИБ Екатеринбург-2015)
Тренды и угрозы ИБ (Код ИБ Екатеринбург-2015)Тренды и угрозы ИБ (Код ИБ Екатеринбург-2015)
Тренды и угрозы ИБ (Код ИБ Екатеринбург-2015)Expolink
 

More Related Content

What's hot

защита персональных данных
защита персональных данныхзащита персональных данных
защита персональных данныхСергей Сергеев
 
Защита персональных данных в области рекрутмента
Защита персональных данных в области рекрутментаЗащита персональных данных в области рекрутмента
Защита персональных данных в области рекрутментаSPIBA
 
анализ соответствия ТБ и зПДн
анализ соответствия ТБ и зПДнанализ соответствия ТБ и зПДн
анализ соответствия ТБ и зПДнSergey Borisov
 
LETA_Мастер-класс_ПДн_АНХ_Левцов
LETA_Мастер-класс_ПДн_АНХ_ЛевцовLETA_Мастер-класс_ПДн_АНХ_Левцов
LETA_Мастер-класс_ПДн_АНХ_Левцовgueste83e28
 
Безопасность платежей 2017
Безопасность платежей 2017Безопасность платежей 2017
Безопасность платежей 2017Ksenia Shudrova
 
Информационная безопасность. Лекция 5.
Информационная безопасность. Лекция 5.Информационная безопасность. Лекция 5.
Информационная безопасность. Лекция 5.Александр Лысяк
 
Решения Cisco для защиты персональных данных
Решения Cisco для защиты персональных данныхРешения Cisco для защиты персональных данных
Решения Cisco для защиты персональных данныхCisco Russia
 
Решения Cisco для защиты персональных данных
Решения Cisco для защиты персональных данныхРешения Cisco для защиты персональных данных
Решения Cisco для защиты персональных данныхCisco Russia
 
роскомнадзор
роскомнадзорроскомнадзор
роскомнадзорExpolink
 
О.Б. Гранов (ГБУЗ СО «МИАЦ») - "Защита информации в РФ, требования к ЛПУ"
О.Б. Гранов (ГБУЗ СО «МИАЦ») - "Защита информации в РФ, требования к ЛПУ"О.Б. Гранов (ГБУЗ СО «МИАЦ») - "Защита информации в РФ, требования к ЛПУ"
О.Б. Гранов (ГБУЗ СО «МИАЦ») - "Защита информации в РФ, требования к ЛПУ"Expolink
 
Приказ ФСТЭК №21 от 18.02.2013 Об утверждении Состава и содержания организаци...
Приказ ФСТЭК №21 от 18.02.2013 Об утверждении Состава и содержания организаци...Приказ ФСТЭК №21 от 18.02.2013 Об утверждении Состава и содержания организаци...
Приказ ФСТЭК №21 от 18.02.2013 Об утверждении Состава и содержания организаци...Alexey Komarov
 

What's hot (17)

защита персональных данных
защита персональных данныхзащита персональных данных
защита персональных данных
 
Защита персональных данных в области рекрутмента
Защита персональных данных в области рекрутментаЗащита персональных данных в области рекрутмента
Защита персональных данных в области рекрутмента
 
GDPR (scope) - Russia
GDPR (scope) - RussiaGDPR (scope) - Russia
GDPR (scope) - Russia
 
пр мастер класс по пдн 2014-04
пр мастер класс по пдн 2014-04пр мастер класс по пдн 2014-04
пр мастер класс по пдн 2014-04
 
пр GDPR breach
пр GDPR breachпр GDPR breach
пр GDPR breach
 
анализ соответствия ТБ и зПДн
анализ соответствия ТБ и зПДнанализ соответствия ТБ и зПДн
анализ соответствия ТБ и зПДн
 
пр про пдн для рбк 2014 11
пр про пдн для рбк 2014 11пр про пдн для рбк 2014 11
пр про пдн для рбк 2014 11
 
Лицензирование в области ИБ
Лицензирование в области ИБЛицензирование в области ИБ
Лицензирование в области ИБ
 
LETA_Мастер-класс_ПДн_АНХ_Левцов
LETA_Мастер-класс_ПДн_АНХ_ЛевцовLETA_Мастер-класс_ПДн_АНХ_Левцов
LETA_Мастер-класс_ПДн_АНХ_Левцов
 
Безопасность платежей 2017
Безопасность платежей 2017Безопасность платежей 2017
Безопасность платежей 2017
 
Информационная безопасность. Лекция 5.
Информационная безопасность. Лекция 5.Информационная безопасность. Лекция 5.
Информационная безопасность. Лекция 5.
 
Решения Cisco для защиты персональных данных
Решения Cisco для защиты персональных данныхРешения Cisco для защиты персональных данных
Решения Cisco для защиты персональных данных
 
Защита ГИС
Защита ГИСЗащита ГИС
Защита ГИС
 
Решения Cisco для защиты персональных данных
Решения Cisco для защиты персональных данныхРешения Cisco для защиты персональных данных
Решения Cisco для защиты персональных данных
 
роскомнадзор
роскомнадзорроскомнадзор
роскомнадзор
 
О.Б. Гранов (ГБУЗ СО «МИАЦ») - "Защита информации в РФ, требования к ЛПУ"
О.Б. Гранов (ГБУЗ СО «МИАЦ») - "Защита информации в РФ, требования к ЛПУ"О.Б. Гранов (ГБУЗ СО «МИАЦ») - "Защита информации в РФ, требования к ЛПУ"
О.Б. Гранов (ГБУЗ СО «МИАЦ») - "Защита информации в РФ, требования к ЛПУ"
 
Приказ ФСТЭК №21 от 18.02.2013 Об утверждении Состава и содержания организаци...
Приказ ФСТЭК №21 от 18.02.2013 Об утверждении Состава и содержания организаци...Приказ ФСТЭК №21 от 18.02.2013 Об утверждении Состава и содержания организаци...
Приказ ФСТЭК №21 от 18.02.2013 Об утверждении Состава и содержания организаци...
 

Similar to Защита ИСПДН

Интернет-магазин как информационная система обработки персональных данных
Интернет-магазин как информационная система обработки персональных данныхИнтернет-магазин как информационная система обработки персональных данных
Интернет-магазин как информационная система обработки персональных данныхDemian Ramenskiy
 
Изменения в законодательстве по защите персональных данных: как выполнить нов...
Изменения в законодательстве по защите персональных данных: как выполнить нов...Изменения в законодательстве по защите персональных данных: как выполнить нов...
Изменения в законодательстве по защите персональных данных: как выполнить нов...Security Code Ltd.
 
Тренды и угрозы ИБ (Код ИБ Екатеринбург-2015)
Тренды и угрозы ИБ (Код ИБ Екатеринбург-2015)Тренды и угрозы ИБ (Код ИБ Екатеринбург-2015)
Тренды и угрозы ИБ (Код ИБ Екатеринбург-2015)Expolink
 
Тренды и угрозы в сфере ИБ
Тренды и угрозы в сфере ИБТренды и угрозы в сфере ИБ
Тренды и угрозы в сфере ИБSolar Security
 
Комплексная защита персональных данных
Комплексная защита персональных данныхКомплексная защита персональных данных
Комплексная защита персональных данныхspiritussancti
 
Требования в области информационной безопасности и соответствующие им решения...
Требования в области информационной безопасности и соответствующие им решения...Требования в области информационной безопасности и соответствующие им решения...
Требования в области информационной безопасности и соответствующие им решения...Cisco Russia
 
Правовые и технические аспекты защиты персональных данных в электронной комме...
Правовые и технические аспекты защиты персональных данных в электронной комме...Правовые и технические аспекты защиты персональных данных в электронной комме...
Правовые и технические аспекты защиты персональных данных в электронной комме...Demian Ramenskiy
 
Требования в области информационной безопасности и соответствующие им решения...
Требования в области информационной безопасности и соответствующие им решения...Требования в области информационной безопасности и соответствующие им решения...
Требования в области информационной безопасности и соответствующие им решения...Cisco Russia
 
Риск-ориентированный подход к выполнению требований 152-ФЗ
Риск-ориентированный подход к выполнению требований 152-ФЗРиск-ориентированный подход к выполнению требований 152-ФЗ
Риск-ориентированный подход к выполнению требований 152-ФЗAndrew Fadeev
 
Хостеры и регистраторы - операторы персональных данных
Хостеры и регистраторы - операторы персональных данныхХостеры и регистраторы - операторы персональных данных
Хостеры и регистраторы - операторы персональных данныхwebdrv
 
MSSP - услуги безопасности. Есть ли место VPN услугам?
MSSP - услуги безопасности. Есть ли место VPN услугам?MSSP - услуги безопасности. Есть ли место VPN услугам?
MSSP - услуги безопасности. Есть ли место VPN услугам?LETA IT-company
 
Мастер класс ПДн Левцов
Мастер класс ПДн ЛевцовМастер класс ПДн Левцов
Мастер класс ПДн Левцовguest5a2f763
 

Similar to Защита ИСПДН (20)

нн 2013 chugunov_v 1
нн 2013 chugunov_v 1нн 2013 chugunov_v 1
нн 2013 chugunov_v 1
 
Интернет-магазин как информационная система обработки персональных данных
Интернет-магазин как информационная система обработки персональных данныхИнтернет-магазин как информационная система обработки персональных данных
Интернет-магазин как информационная система обработки персональных данных
 
Сертификация и персональные данные
Сертификация и персональные данныеСертификация и персональные данные
Сертификация и персональные данные
 
Изменения в законодательстве по защите персональных данных: как выполнить нов...
Изменения в законодательстве по защите персональных данных: как выполнить нов...Изменения в законодательстве по защите персональных данных: как выполнить нов...
Изменения в законодательстве по защите персональных данных: как выполнить нов...
 
Тренды и угрозы ИБ (Код ИБ Екатеринбург-2015)
Тренды и угрозы ИБ (Код ИБ Екатеринбург-2015)Тренды и угрозы ИБ (Код ИБ Екатеринбург-2015)
Тренды и угрозы ИБ (Код ИБ Екатеринбург-2015)
 
Тренды и угрозы в сфере ИБ
Тренды и угрозы в сфере ИБТренды и угрозы в сфере ИБ
Тренды и угрозы в сфере ИБ
 
Комплексная защита персональных данных
Комплексная защита персональных данныхКомплексная защита персональных данных
Комплексная защита персональных данных
 
Требования в области информационной безопасности и соответствующие им решения...
Требования в области информационной безопасности и соответствующие им решения...Требования в области информационной безопасности и соответствующие им решения...
Требования в области информационной безопасности и соответствующие им решения...
 
Правовые и технические аспекты защиты персональных данных в электронной комме...
Правовые и технические аспекты защиты персональных данных в электронной комме...Правовые и технические аспекты защиты персональных данных в электронной комме...
Правовые и технические аспекты защиты персональных данных в электронной комме...
 
Требования в области информационной безопасности и соответствующие им решения...
Требования в области информационной безопасности и соответствующие им решения...Требования в области информационной безопасности и соответствующие им решения...
Требования в области информационной безопасности и соответствующие им решения...
 
Риск-ориентированный подход к выполнению требований 152-ФЗ
Риск-ориентированный подход к выполнению требований 152-ФЗРиск-ориентированный подход к выполнению требований 152-ФЗ
Риск-ориентированный подход к выполнению требований 152-ФЗ
 
О проекте БЕЗ УГРОЗ
О проекте БЕЗ УГРОЗО проекте БЕЗ УГРОЗ
О проекте БЕЗ УГРОЗ
 
пр Iw про compliance 2013 03-05 16на9
пр Iw про compliance 2013 03-05 16на9пр Iw про compliance 2013 03-05 16на9
пр Iw про compliance 2013 03-05 16на9
 
Fomchenkov
FomchenkovFomchenkov
Fomchenkov
 
Хостеры и регистраторы - операторы персональных данных
Хостеры и регистраторы - операторы персональных данныхХостеры и регистраторы - операторы персональных данных
Хостеры и регистраторы - операторы персональных данных
 
GDPR and information security (ru)
GDPR and information security (ru)GDPR and information security (ru)
GDPR and information security (ru)
 
3 курс
3 курс3 курс
3 курс
 
MSSP - услуги безопасности. Есть ли место VPN услугам?
MSSP - услуги безопасности. Есть ли место VPN услугам?MSSP - услуги безопасности. Есть ли место VPN услугам?
MSSP - услуги безопасности. Есть ли место VPN услугам?
 
пр1 про пп1119 и soiso 2013 03-14
пр1 про пп1119 и soiso 2013 03-14пр1 про пп1119 и soiso 2013 03-14
пр1 про пп1119 и soiso 2013 03-14
 
Мастер класс ПДн Левцов
Мастер класс ПДн ЛевцовМастер класс ПДн Левцов
Мастер класс ПДн Левцов
 

More from MNUCIB

Аутсорсинг IT-инфраструктуры
Аутсорсинг IT-инфраструктурыАутсорсинг IT-инфраструктуры
Аутсорсинг IT-инфраструктурыMNUCIB
 
DLPaaS
DLPaaSDLPaaS
DLPaaSMNUCIB
 
Кадровая безопасность компании:
Кадровая безопасность компании:Кадровая безопасность компании:
Кадровая безопасность компании:MNUCIB
 
InfoWatch
InfoWatchInfoWatch
InfoWatchMNUCIB
 
Программы проверки и повышения лояльности персонала
Программы проверки и повышения лояльности персоналаПрограммы проверки и повышения лояльности персонала
Программы проверки и повышения лояльности персоналаMNUCIB
 
Внедрение систем мониторинга и защиты информации
Внедрение систем мониторинга и защиты информации Внедрение систем мониторинга и защиты информации
Внедрение систем мониторинга и защиты информации MNUCIB
 

More from MNUCIB (6)

Аутсорсинг IT-инфраструктуры
Аутсорсинг IT-инфраструктурыАутсорсинг IT-инфраструктуры
Аутсорсинг IT-инфраструктуры
 
DLPaaS
DLPaaSDLPaaS
DLPaaS
 
Кадровая безопасность компании:
Кадровая безопасность компании:Кадровая безопасность компании:
Кадровая безопасность компании:
 
InfoWatch
InfoWatchInfoWatch
InfoWatch
 
Программы проверки и повышения лояльности персонала
Программы проверки и повышения лояльности персоналаПрограммы проверки и повышения лояльности персонала
Программы проверки и повышения лояльности персонала
 
Внедрение систем мониторинга и защиты информации
Внедрение систем мониторинга и защиты информации Внедрение систем мониторинга и защиты информации
Внедрение систем мониторинга и защиты информации
 

Защита ИСПДН

  • 1. Актуальность проблемы защиты информационных систем персональных данных Зырянов Александр МНУЦИБ ВНИИПВТИ
  • 2. Персональные данные (ПДн) – ФЗ-152 «О персональных данных» Персональными данными является любая информация, с помощью которой можно однозначно идентифицировать физическое лицо (субъекта ПДн): • фамилия, имя, отчество; • год, месяц, дата и место рождения; • адрес проживания; • семейное, социальное, имущественное положение; • образование, профессия, доходы и пр. 2
  • 3. Обработка персональных данных Обработка персональных данных - действия (операции) с персональными данными, включая • сбор, • систематизацию, • накопление, • хранение, • уточнение (обновление, изменение), • использование, • распространение (в том числе передачу), • обезличивание, • блокирование, • уничтожение персональных данных 3
  • 4. Защита ПДн • Защита ПДн – требование законодательства • Трудовой кодекс, глава 14 «Защита персональных данных работника» • Федеральный закон РФ от 27 июля 2006 г. N 152-ФЗ «О персональных данных» • Подзаконные акты Правительства РФ и Министерства связи и массовых коммуникаций • Постановление Правительства Российской Федерации от 17 ноября 2007 года № 781 «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных»; • нормативно-методические документы ФСТЭК, ФСБ, Роскомнадзора; • Защита ПДн – требование бизнеса (риски для бизнес- процессов) 4
  • 5. Риски обработки ПДн • Трудоемкость обеспечения безопасности персональных данных (Приказ ФСТЭК России № 58 от 5.02.2010); • Высокая стоимость реализации мер защиты (необходимость использования сертифицированных СЗИ – Постановление Правительства РФ № 330 от 15 мая 2010г.); • Увеличение количества контролирующих органов, расширение тематики возможных (плановых и внеплановых) проверок; • Административная и уголовная ответственность за утечку ПДн. 5
  • 6. Информационные ресурсы с точки зрения ПДн • Системы кадрового и бухгалтерского учета • Базы данных клиентов • Базы данных контактов юридических лиц- контрагентов (CRM и пр.) • Контактные данные почтовой системы и почтовых клиентов сотрудников 6
  • 7. Конфиденциальность ПДн (ФЗ № 152) Конфиденциальность  заключение договоров с контрагентами; персональных данных - добровольное медицинское и обязательное для пенсионное страхование соблюдения оператором … работников;  передача ПДн в требование не допускать правоохранительные органы (ФЗ их распространение без «О противодействии согласия субъекта легализации(отмыванию) доходов, полученных преступным путем, персональных данных и финансированию терроризма»); или наличия иного  приобретение билетов для законного основания командировок и бронирование гостиниц для сотрудников;  и пр… 7
  • 8. О категориях персональных данных • Общедоступные ПДн • Специальные категории ПДн • Биометрические персональные данные • Категории персональных данных, обрабатываемых в ИСПДн: • Категория 1 – персональные данные, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных и философских убеждений, состояния здоровья, интимной жизни. • Категория 2 – персональные данные, позволяющие идентифицировать субъекта ПДн и получить о нем дополнительную информацию, за исключением персональных данных, относящихся к категории 1. • Категория 3 – персональные данные, позволяющие идентифицировать субъекта ПДн. • Категория 4 – обезличенные и (или) общедоступные персональные данные. 8
  • 9. Классы ИСПДн (Приказ ФСТЭК России, ФСБ РФ, Миникомсвязь России от 13.02.08 г. № 55/86/20 ) 1000 - <1000 > 100 000 100000 Категория 4 K4 K4 K4 Категория 3 K3 K3 K2 Категория 2 K3 K2 K1 Категория 1 K1 K1 K1 9
  • 10. Автоматизированная обработка? • Неавтоматизированная обработка ПДн • Обработка персональных данных, содержащихся в информационной системе персональных данных либо извлеченных из такой системы, считается осуществленной без использования средств автоматизации (неавтоматизированной), если действия с персональными данными, осуществляются при непосредственном участии человека. (Постановление Правительства Российской Федерации от 15 сентября 2008 г. N 687 г.) • Автоматизированная обработка персональных данных • Операции с ПДн, осуществляемые полностью или частично с помощью средств автоматизации (Постановление Правительства РФ от 17 ноября 2007 г. N 781 «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных») 10
  • 11. Положение об обеспечении безопасности ПДн при их обработке в ИСПДн Статья 11. При обработке персональных данных в информационной системе должно быть обеспечено: a) проведение мероприятий, направленных на предотвращение несанкционированного доступа к персональным данным и (или) передачи их лицам, не имеющим права доступа к такой информации; б) своевременное обнаружение фактов несанкционированного доступа к персональным данным; в) недопущение воздействия на технические средства автоматизированной обработки персональных данных, в результате которого может быть нарушено их функционирование; г) возможность незамедлительного восстановления персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним; д) постоянный контроль за обеспечением уровня защищенности персональных данных. 11
  • 12. Положение об обеспечении безопасности ПДн при их обработке в ИСПДн Статья 12. Мероприятия по обеспечению безопасности персональных данных включают в себя: а) определение угроз безопасности персональных данных …, формирование на их основе модели угроз; б) разработку на основе модели угроз системы защиты персональных данных …; в) проверку готовности средств защиты информации …; г) установку и ввод в эксплуатацию средств защиты информации …; д) обучение лиц, использующих средства защиты информации; е) учет применяемых средств защиты информации …; ж) учет лиц, допущенных к работе с персональными данными в информационной системе; з) контроль за соблюдением условий использования средств защиты информации …; 12
  • 13. Подготовка к обеспечению безопасности персональных данных Оценка соответствия средств ЗИ подготовка рекомендаций по построению ИСПДн Акт классификации (типовые и специальные ИСПДн)  Типовая модель угроз безопасности ПДн  Модель нарушителя  Определение исходной защищенности и вероятности реализации угрозы  Актуализированная модель угроз безопасности ПДн  Разработка организационно – технических мероприятий по защите ПДн  Техническое задание на разработку СЗИ 13
  • 14. Требования по защите ИСПДн • Мероприятия по защите ПДн при их обработке в ИСПДн от НСД, включают: Управление доступом Регистрацию и учет Обеспечение целостности Контроль отсутствия недекларированных возможностей (НДВ) Антивирусную защиту Обеспечение безопасного межсетевого взаимодействия ИСПДн Анализ защищенности Обнаружение вторжений 14
  • 15. Требования по защите ИСПДн Подсистемы Класс ИСПДн Управления доступом Регистрации и учета Обеспечения целостности Однопользовательская 3Б 3А 3Б Многопользовательская с равными 2Б 2А 2Б K1 правами Многопользовательская с разными 1Г 1Г 1Г правами Однопользовательская 3Б 3Б 3Б Многопользовательская с равными K2 2Б 2Б 2Б правами Многопользовательская с разными 1Д 1Д 1Д правами Однопользовательская 3Б 3Б 3Б Многопользовательская с равными K3 2Б 2Б 2Б правами Многопользовательская с разными 1Д 1Д 1Д правами 15
  • 16. Внутренние нормативные документы по защите ИСПДн Приказ «Об организации работы по защите конфиденциальной информации и персональных данных» •Перечень сведений конфиденциального характера •Перечень защищаемых информационных ресурсов • Инструкция по организации работы с материальными носителями персональных данных •Положение о порядке обработки персональных данных работников •Инструкция о порядке удаления (изменения) персонифицированных записей из (в) информационных систем персональных данных •Инструкция по организации работы с электронными носителями персональных данных Приказ «Об организации работы с персональными данными» •Положение о персональных данных •Перечень помещений, в которых осуществляется обработка персональных данных с указанием лиц, имеющих допуск в данные помещения •Список лиц, ответственных за организацию защиты конфиденциальной информации и за разработку, проведение мероприятий, направленных на выполнение требований • Список лиц, имеющих доступ к персональным данным •Состав комиссии по классификации информационных систем персональных данных и автоматизированных систем Должностные инструкции сотрудников Модель угроз безопасности персональных данных Акт о классификации ИСПДн Положение об обеспечении безопасности персональных данных при их обработке Описание системы защиты, обеспечивающей нейтрализацию угроз для соответствующего класса ИСПДн Журналы учета средств и методов защиты информации Журнал проверки исправности и технического обслуживания 16
  • 17. КОНТРОЛЬ И НАДЗОР ЗА ОБРАБОТКОЙ ПЕРСОНАЛЬНЫХ ДАННЫХ • Уполномоченный орган по защите прав субъектов персональных данных – Роскомнадзор • Федеральный орган исполнительной власти, уполномоченный в области обеспечения безопасности – ФСБ РФ • Федеральный орган исполнительной власти, уполномоченный в области противодействия техническим разведкам и технической защиты информации – ФСТЭК России 17
  • 18. ОТВЕТСТВЕННОСТЬ ЗА НЕПРАВОМЕРНОЕ ОБРАЩЕНИЕ С ПЕРСОНАЛЬНЫМИ ДАННЫМИ • Статья 13.11. Нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах • влечет предупреждение или наложение административного штрафа на граждан в размере от трехсот до пятисот рублей; на должностных лиц - от пятисот до одной тысячи рублей; на юридических лиц - от пяти тысяч до десяти тысяч рублей. • Статья 13.13.1 Незаконная деятельность в области защиты информации • влечет наложение административного штрафа … на должностных лиц - от двух тысяч до трех тысяч рублей с конфискацией средств защиты информации или без таковой; на юридических лиц - от десяти тысяч до двадцати тысяч рублей с конфискацией средств защиты информации или без таковой. • Статья 19.5.2 • влечет наложение административного штрафа на должностных лиц в размере от пяти тысяч до десяти тысяч рублей или дисквалификацию на срок до трех лет; на юридических лиц - от двухсот тысяч до пятисот тысяч рублей 18
  • 19. ОТВЕТСТВЕННОСТЬ ЗА НЕПРАВОМЕРНОЕ ОБРАЩЕНИЕ С ПЕРСОНАЛЬНЫМИ ДАННЫМИ • Глава 5 статья 23.3. Уполномоченный орган по защите прав субъектов персональных данных имеет право: • 2) принятие в установленном законодательством РФ порядке мер по приостановлению или прекращению обработки персональных данных, осуществляемой с нарушением требований настоящего Федерального закона; • 4) направлять заявление в орган, осуществляющий лицензирование деятельности оператора, для рассмотрения вопроса о принятии мер по приостановлению действия или аннулированию соответствующей лицензии в установленном законодательством Российской Федерации порядке, если условием лицензии на осуществление такой деятельности является запрет на передачу персональных данных третьим лицам без согласия в письменной форме субъекта персональных данных; направлять в органы прокуратуры, другие правоохранительные органы материалы для решения вопроса о возбуждении уголовных дел по признакам преступлений, связанных с нарушением прав субъектов персональных данных, в соответствии с подведомственностью; 19
  • 20. ОТВЕТСТВЕННОСТЬ ЗА НЕПРАВОМЕРНОЕ ОБРАЩЕНИЕ С ПЕРСОНАЛЬНЫМИ ДАННЫМИ • Статья 137. Незаконное собирание или распространение сведений о частной жизни лица, составляющих его личную или семейную тайну, без его согласия либо распространение этих сведений в публичном выступлении, публично демонстрирующемся произведении или средствах массовой информации • Статья 171. Незаконное предпринимательство • 1. Осуществление предпринимательской деятельности … без специального разрешения (лицензии) в случаях, когда такое разрешение (лицензия) обязательно, или с нарушением лицензионных требований и условий, если это деяние … сопряжено с извлечением дохода в крупном размере • 2. То же деяние: а) совершенное организованной группой; б) сопряженное с извлечением дохода в особо крупном размере 20