УБРиР. Михаил Цыкарев. "Корпоративная культура. Lifestyle поколения Z."
нпа обеспечение пдн
1. ВЫСТУПЛЕНИЕ
ТЕМА: Система документов в области
обеспечения безопасности персональных
данных при их обработке в информационных
системах персональных данных.
Руководитель занятия: заместитель начальника отдела Управления ФСТЭК
России по Уральскому федеральному округу
Мельников Валерий Геннадьевич
контактный тел: (351) 372 -18 -53
1
2. Система документов в области обеспечения
безопасности ПДн при их обработке в ИСПДн
Нормативные правовые
Законы Российской
Федерации
Организационно- Нормативные Методические
распорядительные
Постановления Стандарты Специальные
нормативные Модели
Правительства Российской
Федерации
Международные СТР Методики
Межгосударст РД
венные
Руководства
Положения Инструкции Требования
Национальные
Рекомендации
2
3. Основные нормативные правовые документы
в области обеспечения безопасности ПДн при их обработке в ИСПДн
Федеральный закон РФ от 27 июля 2006 г.
№149-ФЗ «Об информации, информационных
технологиях и о защите информации»
Федеральный закон РФ от 27 июля 2006 г.
№152-ФЗ «О персональных данных»
Федеральный закон РФ от 25 июля 2011 г.
№ 261-ФЗ «О внесении изменений в Федеральный
закон о персональных данных»
3
4. «О персональных данных»
Федеральный закон от 27 июля 2006 г. № 152-ФЗ
Статья 3. Основные понятия, используемые в
настоящем Федеральном законе
• Персональные данные - любая информация,
относящаяся к прямо или косвенно определенному или
определяемому физическому лицу (субъекту
персональных данных).
• Автоматизированная обработка персональных данных -
обработка персональных данных с помощью средств
вычислительной техники.
• Информационная система персональных данных -
совокупность содержащихся в базах данных
персональных данных и обеспечивающих 2011 г.
Федеральный закон РФ от 25 июля их обработку
информационных технологий и технических средств.
№ 261-ФЗ «О внесении изменений в Федеральный
закон о персональных данных»
4
5. «О персональных данных»
Федеральный закон от 27 июля 2006 г. № 152-ФЗ
Статья 6. Условия обработки персональных данных
• Оператор вправе поручить обработку персональных данных другому лицу с
согласия субъекта персональных данных, если иное не предусмотрено
федеральным законом, на основании заключаемого с этим лицом договора,
в том числе государственного или муниципального контракта, либо путем
принятия государственным или муниципальным органом соответствующего
акта (далее - поручение оператора).
• Лицо, осуществляющее обработку персональных данных по поручению
оператора, обязано соблюдать принципы и правила обработки
персональных данных, предусмотренные настоящим Федеральным законом.
• В поручении оператора должны быть определены перечень действий
(операций) с персональными данными, которые будут совершаться лицом,
осуществляющим обработку персональных данных, и цели обработки,
должна быть установлена обязанность такого лица соблюдать
конфиденциальность персональных данных и обеспечивать безопасность
персональных данных призакон РФ от 25 июля 2011 г. указаны
Федеральный их обработке, а также должны быть
№ статьей 19 защите обрабатываемых персональных Федеральный
требования к
со
261-ФЗнастоящего Федерального закона. в данных в соответствии
«О внесении изменений
закон о персональных данных»
5
6. «О персональных данных»
Федеральный закон от 27 июля 2006 г. № 152-ФЗ
Статья 18.1. Меры, направленные на обеспечение
выполнения оператором обязанностей, предусмотренных
настоящим Федеральным законом
• Оператор обязан принимать меры, необходимые и достаточные
для обеспечения выполнения обязанностей, предусмотренных
настоящим Федеральным законом и принятыми в соответствии с
ним нормативными правовыми актами.
• Оператор самостоятельно определяет состав и перечень мер,
необходимых и достаточных для обеспечения выполнения
обязанностей, предусмотренных настоящим Федеральным законом
и принятыми в соответствии РФ отнормативными правовыми
Федеральный закон с ним 25 июля 2011 г.
актами, если иное не предусмотрено настоящим Федеральным
№ 261-ФЗ другими Федеральными законами. Федеральный
законом или «О внесении изменений в
закон о персональных данных»
6
7. «О персональных данных»
Федеральный закон от 27 июля 2006 г. № 152-ФЗ
Статья 18.1. К таким мерам могут, в частности, относиться:
1) назначение оператором, являющимся юридическим лицом, ответственного за
организацию обработки персональных данных;
2) издание оператором, являющимся юридическим лицом, документов, определяющих
политику оператора в отношении обработки персональных данных, локальных актов по
вопросам обработки персональных данных, а также локальных актов, устанавливающих
процедуры, направленные на предотвращение и выявление нарушений законодательства
Российской Федерации, устранение последствий таких нарушений;
3) применение правовых, организационных и технических мер по обеспечению
безопасности персональных данных в соответствии со статьей 19 настоящего ФЗ;
4) осуществление внутреннего контроля и (или) аудита соответствия обработки
персональных данных настоящему ФЗ и принятым в соответствии с ним нормативным
правовым актам, требованиям к защите персональных данных, политике оператора в
отношении обработки персональных данных, локальным актам оператора;
5) оценка вреда, который может быть причинен субъектам персональных данных в случае
нарушения настоящего ФЗ, соотношение указанного вреда и принимаемых оператором мер,
направленных на обеспечение выполнения обязанностей, предусмотренных настоящим
Федеральный закон РФ от 25 июля 2011 г.
Федеральным законом;
6) ознакомление работников оператора, непосредственно осуществляющих обработку
№ 261-ФЗ «О внесении изменений в Федеральный
персональных данных, с положениями законодательства Российской Федерации о
закон о персональных данных»
персональных данных, в том числе с требованиями к защите персональных данных,
документами, определяющими политику оператора в отношении обработки персональных
7
данных, локальными актами по вопросам обработки персональных данных, и (или) обучение
указанных работников.
8. «О персональных данных»
Федеральный закон от 27 июля 2006 г. № 152-ФЗ
Статья 19. Меры по обеспечению безопасности персональных данных при их
обработке
1. Оператор при обработке персональных данных обязан принимать необходимые правовые,
организационные и технические меры или обеспечивать их принятие для защиты
персональных данных от неправомерного или случайного доступа к ним, уничтожения,
изменения, блокирования, копирования, предоставления, распространения персональных
данных, а также от иных неправомерных действий в отношении персональных данных.
2. Обеспечение безопасности персональных данных достигается, в частности:
1) определением угроз безопасности персональных данных при их обработке в ИСПДн;
2) применением организационных и технических мер по обеспечению безопасности
персональных данных при их обработке в информационных системах персональных данных,
необходимых для выполнения требований к защите персональных данных, исполнение
которых обеспечивает установленные Правительством Российской Федерации уровни
защищенности персональных данных;
3) применением прошедших в установленном порядке процедуру оценки соответствия средств
защиты информации;
4) оценкой эффективности принимаемых мер по обеспечению безопасности персональных
данных до ввода в эксплуатацию ИСПДн;
5) учетом машинных носителей персональных данных;
6) обнаружением фактов несанкционированного доступа к персональным данным и принятием
мер;
Федеральный закон РФ от 25 июля 2011 г.
7) восстановлением персональных данных, модифицированных или уничтоженных вследствие
НСД к ним;
№ 261-ФЗ «О внесении изменений в Федеральный
8) установлением правил доступа к персональным данным, обрабатываемым в ИСПДн, а также
обеспечением регистрации и учета всех действий, совершаемых с персональными данными в
ИСПДн;
закон о персональных данных»
9) контролем за принимаемыми мерами по обеспечению безопасности персональных данных и
уровня защищенности ИСПДн. 8
9. «О персональных данных»
Федеральный закон от 27 июля 2006 г. № 152-ФЗ
п.3. Правительство Российской Федерации с учетом возможного
вреда субъекту персональных данных, объема и содержания
обрабатываемых персональных данных, вида деятельности, при
осуществлении которого обрабатываются персональные данные,
актуальности угроз безопасности персональных данных
устанавливает:
1) уровни защищенности персональных данных при их обработке в
информационных системах персональных данных в зависимости от
угроз безопасности этих данных;
2) требования к защите персональных данных при их обработке в
информационных системах персональных данных, исполнение
которых обеспечивает установленные уровни защищенности
персональных данных.
Федеральный закон РФ от 25 июля 2011 г.
№ 261-ФЗ «О внесении изменений в Федеральный
закон о персональных данных»
9
10. «О персональных данных»
Федеральный закон от 27 июля 2006 г. № 152-ФЗ
п.8. Контроль и надзор за выполнением организационных и технических мер по
обеспечению безопасности персональных данных, установленных в
соответствии с настоящей статьей, при обработке персональных данных в
государственных информационных системах персональных данных
осуществляются федеральным органом исполнительной власти,
уполномоченным в области обеспечения безопасности (ФСБ России), и
федеральным органом исполнительной власти, уполномоченным в области
противодействия техническим разведкам и технической защиты информации
(ФСТЭК России), в пределах их полномочий и без права ознакомления с
персональными данными, обрабатываемыми в информационных системах
персональных данных.
п.9. ФСБ России и ФСТЭК России, решением Правительства Российской
Федерации с учетом значимости и содержания обрабатываемых персональных
данных могут быть наделены полномочиями по контролю за выполнением
организационных и технических мер по обеспечению безопасности
персональных данных, установленных в соответствии с настоящей статьей,
Федеральный закон РФ от 25 июля 2011 г.
при их обработке в информационных системах персональных данных,
№ 261-ФЗ «О внесении изменений в Федеральный
эксплуатируемых при осуществлении определенных видов деятельности и не
являющихся государственными информационными системами персональных
данных, закон о персональных данных»
без права ознакомления с персональными данными,
обрабатываемыми в информационных системах персональных данных. 10
11. «О персональных данных»
Федеральный закон от 27 июля 2006 г. № 152-ФЗ
Статья 22.1.
1. Оператор, являющийся юридическим лицом, назначает лицо,
ответственное за организацию обработки персональных данных.
4. Лицо, ответственное за организацию обработки персональных
данных, в частности, обязано:
1) осуществлять внутренний контроль за соблюдением оператором и
его работниками законодательства Российской Федерации о
персональных данных, в том числе требований к защите
персональных данных;
2) доводить до сведения работников оператора положения
законодательства Российской Федерации о персональных данных,
локальных актов по вопросам обработки персональных данных,
требований к защите персональных данных.
Федеральный закон РФ от 25 июля 2011 г.
№ 261-ФЗ «О внесении изменений в Федеральный
закон о персональных данных»
11
12. Организационно-распорядительные документы
в области обеспечения безопасности ПДн при их обработке в ИСПДн
Постановление Правительства РФ от 17 ноября 2007 г. №781
«Об утверждении Положения об обеспечении безопасности
персональных данных при их обработке в информационных
системах персональных данных»
Постановление Правительства РФ от 21 марта 2012 г. № 211
«Об утверждении перечня мер, направленных на обеспечение
выполнения обязанностей, предусмотренных Федеральным
законом «О персональных данных» и принятыми в
соответствии с ним нормативными правовыми актами,
операторами, являющимися государственными или
муниципальными органами»
12
13. Нормативные и методические документы
в области обеспечения безопасности ПДн при их обработке в ИСПДн
Положение о методах и способах защиты информации в информационных
системах персональных данных. Приказ директора ФСТЭК России от 5
февраля 2010 г. № 58
Порядок проведения классификации информационных систем
персональных данных, утвержденный приказом ФСЭК России, ФСБ
России и Мининформсвязи России от
13 февраля 2008 г. № 55/86/20
Базовая модель угроз безопасности персональных данных при обработке в
информационных системах персональных данных. Утверждена ФСТЭК
России 15 февраля 2008 г.
Методика определения актуальных угроз безопасности персональных
данных при обработке в информационных системах персональных
данных. Утверждена ФСТЭК России 14 февраля 2008 г. 13
14. Приказ ФСЭК России, ФСБ России и Мининформсвязи России от
13 февраля 2008 г. № 55/86/20
Объем обрабатываемых ПДн
Категория
ПДн менее 1 000 от 1 000 до 100 000 более 100 000
субъектов ПДн субъектов ПДн субъектов ПДн
категория 4 класс 4 класс 4 класс 4
(обезличенные данные)
категория 3 класс 3 класс 3 класс 2
(данные, позволяющие
идентифицировать субъекта)
категория 2 класс 3 класс 2 класс 1
(данные, позволяющие
идентифицировать субъекта и
получить о нем
дополнительную информацию)
категория 1 класс 1 класс 1 класс 1
(данные, касающиеся рассовой,
национальной принадлежности,
политических взглядов,
религиозных убеждений, 14
состояния здоровья)
15. Базовая модель угроз безопасности ПДн при обработке в ИСПДн
Документ предназначен:
для операторов организующих и (или) осуществляющих обработку ПДн,
а также определяющих цели и содержание обработки ПДн, заказчиков и
разработчиков ИСПДн и их подсистем при решении задач:
- разработки частных моделей угроз безопасности ПДн в конкретных
ИСПДн;
- анализ защищенности ИСПДн;
- разработка систем защиты ПДн;
- организации и проведения мероприятий по защите ПДн;
- контроля защищенности ПДн
В документе:
-дается характеристика объектов защиты;
- приводятся классификация угроз;
-описываются модели нарушителей;
-раскрывается содержание угроз утечки информации по
техническим каналам, угроз НСД, программно-математических
воздействий, угроз специальных воздействий электромагнитными
15
полями и др.
16. Базовая модель угроз безопасности ПДн при обработке в ИСПДн
Наименование Источник Способ Несанкционированное
Уязвимость
угрозы угрозы реализации действие
Нарушитель Аппаратная Носитель вредоносной
закладка программы
Кража носителя
Внутренний
Копирование
Внешний Категория
Модификация
нарушителя
Уничтожение
Определяется по
уровню доступа к Кража паролей
ИСПДн
16
17. Методика определения актуальных угроз безопасности
ПДн при их обработке в ИСПДн
Документ предназначен:
для специалистов по обеспечению безопасности информации,
руководителей организаций и предприятий, организующих и
проводящих работы по обработке ПДн в государственных или
муниципальных ИСПДн, ИСПДн создаваемых и (или) эксплуатируемых
предприятиями, организациями и учреждениями независимо от форм
собственности, в ИСПДн, создаваемых и используемых физическими
лицами, за исключением случаев, когда последние используют
указанные системы исключительно для личных и семейных нужд.
Документ содержит:
-общие положения с определением наиболее важных понятий и
указанием на связь с базовой моделью;;
- приводятся показатели, по которым определяется актуальность
угроз;
--описывается порядок расчета показателей и правила отнесения
угроз к актуальным
17
18. Методика определения актуальных угроз безопасности
ПДн при их обработке в ИСПДн
Показатель Значения Уровень
исходной исходной Коэффициент реализуемости угрозы
степени защищенности Y=(Y1+ Y2 )/20
защищенности
0 Высокий
Y1 5 Средний Если 0 ≤ Y ≤ 0,3, то возможность
реализации угрозы признается
10 Низкий
низкой;
Если 0 ≤ Y ≤ 0,6, то возможность
Показатель Значения Уровень реализации угрозы признается
возможности возможности
средней;
реализации реализации
угрозы угрозы Если 0 ≤ Y ≤ 0,8, то возможность
реализации угрозы признается
0 Маловероятно
высокой;
2 Низкая Если Y > 0,8 то возможность
вероятность реализации угрозы признается
Y2 5 Средняя очень высокой;
вероятность
10 Высокая
18
вероятность
19. Положение о методах и способах защиты информации в
информационных системах персональных данных
Назначение:
устанавливает методы и способы защиты информации, применяемые
для обеспечения безопасности персональных данных при их обработке в
ИСПДн государственными органами, муниципальными органами,
юридическими или физическими лицами, организующими и (или)
осуществляющими обработку персональных данных, а также
определяющими цели и содержание обработки персональных данных
(оператор), или лицом, которому на основании договора оператор
поручает обработку персональных данных (уполномоченное лицо).
Не рассматриваются вопросы обеспечения безопасности
персональных данных, отнесенных в установленном порядке к
сведениям, составляющим государственную тайну, а также
вопросы применения криптографических методов и способов
защиты информации
19
20. Положение о методах и способах защиты информации в
информационных системах персональных данных
Общие вопросы Методы и способы Методы и способы
организации защиты информации от защиты информации от
применения методов и утечки по техническим несанкционированного
способов каналам доступа
Может назначаться: Защита речевой Методы и способы
структурное подразделение информации: предусмотренные СТРК
или при актуальности угрозы
должностное лицо, Использование средств
утечки речевой информации антивирусной защиты
ответственные за обеспечение
безопасности ПДн Исключение утечки ПДн за Межсетевое экранирование
При взаимодействии ИСПДн с ИТКС
Может привлекаться: по каналу ПЭМИН:
организация, имеющая для ИСПДн 1 класса Обнаружение вторжений
лицензию на осуществление
деятельности по ТЗКИ Анализ защищенности
Может привлекаться:
организация, имеющая Создание канала связи,
лицензию на осуществление обеспечивающего защиту
деятельности по ТЗКИ передаваемых данных
Выбор и реализация методов Использование смарт-карт,
и способов проводятся на электронных замков и тп.
основе определяемых
оператором угроз
безопасности ПДн (модели
Приложение: Методы и способы защиты информации от НСД в 20
угроз) и в зависимости от
зависимости от класса ИСПДн
класса ИСПДн
21. Поручение Правительства Российской Федерации
от 3 ноября 2011 г. № ВВ-П39-7752
№ Название проекта нормативного правового акта Срок Ответственные
п/п представления исполнители
1. Постановление Правительства РФ о перечне мер, направленных на декабрь 2011 г. Минкомсвязь
обеспечение выполнения обязанностей, предусмотренных Федеральным России
законом «О персональных данных» и принятыми в соответствии с ним ФСБ России,
нормативными правовыми актами, операторами, являющимися ФСТЭК России,
Роскомнадзор
государственными или муниципальными органами
2. Постановление Правительства РФ об установлении уровней защищенности май 2012 ФСБ России,
ПДн при их обработке в ИСПДн в зависимости от угроз безопасности этих ФСТЭК России,
данных Минкомсвязь
России
3. Постановление Правительства Российской Федерации об утверждении май 2012 ФСБ России,
требований к защите ПДн при их обработке в ИСПДН, исполнение которых ФСТЭК России,
обеспечивает установленные уровни защищенности ПДн Минкомсвязь
России
4. Постановление Правительства РФ об утверждении порядка согласования август 2012 ФСБ России
решений ассоциаций, союзов и иных объединений операторов об ФСТЭК России
определени дополнительных угроз безопасности ПДн, актуальных при
обработке ПДн в ИСПДн, эксплуатируемых при осуществлении
определенных видов деятельности членами таких ассоциаций, союзов и
иных объединений операторов, с федеральных органом исполнительной
власти, уполномоченным в области обеспечения безопасности, и с
федеральным органом власти, уполномоченным в области противодействия 21
техническим разведкам и технической защиты информации
22. Поручение Правительства Российской Федерации
от 3 ноября 2011 г. № ВВ-П39-7752
№ Название проекта нормативного правового акта Срок Ответственные
п/п представления исполнители
5. Приказ ФСБ России об утверждении состава и содержания Июль 2012 ФСБ России
необходимых для установленных Правительством Российской
Федерации требований к защите ПДн для каждого из уровней
защищенности организационных и технических мер по
обеспечению безопасности ПДн при их обработке в ИСПДн, в
сфере деятельности ФСБ России
6. Приказ ФСТЭК России об утверждении состава и содержания Июль 2012 ФСТЭК
необходимых для установленных Правительством Российской России
Федерации требований к защите ПДн для каждого из уровней
защищенности организационных и технических мер по
обеспечению безопасности ПДн при их обработке в ИСПДн, в
сфере деятельности ФСТЭК России
7. Приказ Роскомнадзора об утверждении перечня иностранных Декабрь 2012 Роскомнадзор
государств, не являющимися сторонами Конвенции Совета
Европы о защите физических лиц при автоматизированной
обработке ПДн, и обеспечивающих адекватную защиту прав
22
субъектов персональных данных
23. ВЫСТУПЛЕНИЕ
ТЕМА: Система документов в области
обеспечения безопасности персональных
данных при их обработке в информационных
системах персональных данных.
Руководитель занятия: заместитель начальника отдела Управления ФСТЭК
России по Уральскому федеральному округу
Мельников Валерий Геннадьевич
контактный тел: (351) 372 -18 -53 23