Документ описывает организацию безопасной передачи данных в соответствии с федеральным законом Российской Федерации о персональных данных. Рассматриваются основные понятия, связанные с обработкой и защитой персональных данных, а также меры по управлению доступом и безопасности информации. Документ также содержит указания по соблюдению законодательства о персональных данных для государственных и муниципальных органов.

1. «Организация безопасной передачи данных
по ЕГЭ в соответствии с Федеральным законом
Российской Федерации от 27.07.2006 № 152-ФЗ
«О персональных данных»
Сергей Мармоленко
менеджер отдела
комплексных решений
группы компаний «ГЭНДАЛЬФ»
г. Ростов-на-Дону, ул. 9-я линия, 14
тел. +7 (863) 223-66-00 доб. 2736
моб. +7 (961) 432-11-00
e-mail: mars@gendalf.ru

2. 152-ФЗ. Основные понятия
(из приказа ФСТЭК № 21)
Меры по управлению доступом субъектов
доступа к объектам доступа должны
обеспечивать управление правами и
привилегиями субъектов доступа, разграничение
доступа субъектов доступа к объектам доступа на
основе совокупности установленных в
информационной системе правил разграничения
доступа, а также обеспечивать контроль за
соблюдением этих правил.

3. 152-ФЗ. Основные понятия
Персональные данные (ПДн) - любая информация,
относящаяся к определенному или определяемому на
основании такой информации физическому лицу (субъекту
персональных данных), в том числе его фамилия, имя,
отчество, год, месяц, дата и место рождения, адрес,
семейное, социальное, имущественное положение,
образование, профессия, доходы, другая информация.
Оператор - государственный орган, муниципальный орган,
юридическое или физическое лицо, самостоятельно или
совместно с другими лицами организующие и (или)
осуществляющие обработку персональных данных, а также
определяющие цели обработки персональных данных, состав
персональных данных, подлежащих обработке, действия
(операции), совершаемые с персональными данными.

4. 152-ФЗ. Основные понятия
Обработка персональных данных - любое действие (операция) или
совокупность действий (операций), совершаемых с использованием
средств автоматизации или без использования таких средств с
персональными данными, включая сбор, запись, систематизацию,
накопление, хранение, уточнение (обновление, изменение),
извлечение, использование, передачу (распространение,
предоставление, доступ), обезличивание, блокирование,
удаление, уничтожение персональных данных.
Хранение персональных данных должно осуществляться в форме,
позволяющей определить субъекта персональных данных, не
дольше, чем этого требуют цели обработки персональных данных,
если срок хранения персональных данных не установлен
федеральным законом, договором, стороной которого,
выгодоприобретателем или поручителем по которому является
субъект персональных данных. Обрабатываемые персональные
данные подлежат уничтожению либо обезличиванию по
достижении целей обработки или в случае утраты необходимости в
достижении этих целей, если иное не предусмотрено законом.

5. 152-ФЗ. Основные понятия
Конфиденциальность - операторы и иные лица, получившие
доступ к персональным данным, обязаны не раскрывать
третьим лицам и не распространять персональные данные без
согласия субъекта персональных данных, если иное не
предусмотрено федеральным законом.
Оператор самостоятельно определяет состав и перечень мер,
необходимых и достаточных для обеспечения выполнения
обязанностей, предусмотренных настоящим Федеральным
законом и принятыми в соответствии с ним нормативными
правовыми актами.

6. 152-ФЗ. Основные понятия
Оператор, являющийся юридическим лицом, назначает лицо,
ответственное за организацию обработки персональных данных.
Лицо, ответственное за организацию обработки персональных
данных обязано осуществлять внутренний контроль за
соблюдением оператором и его работниками законодательства
Российской Федерации о персональных данных, в том числе
требований к защите персональных данных.
Уполномоченный орган по защите прав субъектов персональных
данных, на который возлагается обеспечение контроля и надзора за
соответствием обработки персональных данных требованиям
настоящего Федерального закона - федеральный орган
исполнительной власти, осуществляющий функции по контролю и
надзору в сфере информационных технологий и связи
(Роскомнадзор) вправе привлекать к административной
ответственности лиц, виновных в нарушении настоящего закона.

7. Постановление Правительства
РФ от 01.11.2012 № 1119
"Об утверждении требований к защите
персональных данных при их обработке
в информационных системах
персональных данных"
взамен Постановления Правительства
РФ от 17.11.2007 № 781
"Об утверждении Положения об обеспечении
безопасности персональных данных при их обработке
в информационных системах персональных данных"

8. Постановление Правительства
РФ от 01.11.2012 № 1119
Под актуальными угрозами безопасности
персональных данных понимается
совокупность условий и факторов, создающих
актуальную опасность несанкционированного,
в том числе случайного, доступа к
персональным данным при их обработке в
информационной системе, результатом
которого могут стать уничтожение, изменение,
блокирование, копирование, предоставление,
распространение персональных данных, а
также иные неправомерные действия.

9. Постановление Правительства РФ
от 01.11.2012 № 1119
Угрозы 1-го типа актуальны для ИС, если для нее актуальны
угрозы, связанные с наличием недокументированных
(недекларированных) возможностей в системном
программном обеспечении, используемом в ИС.
Угрозы 2-го типа актуальны для ИС, если для нее в том числе
актуальны угрозы, связанные с наличием
недокументированных (недекларированных) возможностей
в прикладном программном обеспечении, используемом в
ИС.
Угрозы 3-го типа актуальны для ИС, если для нее актуальны
угрозы, не связанные с наличием недокументированных
(недекларированных) возможностей в системном и
прикладном программном обеспечении, используемом в
ИС.

10. Постановление Правительства РФ
от 01.11.2012 № 1119
Определение типа угроз безопасности
персональных данных, актуальных для ИС,
производится оператором с учетом оценки
возможного вреда.
При обработке персональных данных в ИС
устанавливаются 4 уровня защищенности
персональных данных в зависимости от типа
актуальных угроз, категории персональных
данных, обрабатываемых в системе,
количества субъектов персональных данных,
не являющихся сотрудниками оператора.

11. Постановление Правительства РФ
от 01.11.2012 № 1119
Для обеспечения 4-го уровня защищенности персональных данных
при их обработке в ИС необходимо выполнение требований:
а) организация режима обеспечения безопасности помещений, в
которых размещена ИС, препятствующего возможности
неконтролируемого проникновения или пребывания в этих
помещениях лиц, не имеющих права доступа в эти помещения;
б) обеспечение сохранности носителей персональных данных;
в) утверждение руководителем оператора документа,
определяющего перечень лиц, доступ которых к персональным
данным, обрабатываемым в ИС, необходим для выполнения ими
служебных (трудовых) обязанностей;
г) использование средств защиты информации, прошедших
процедуру оценки соответствия требованиям законодательства
РФ в области обеспечения безопасности информации, в случае,
когда применение таких средств необходимо для нейтрализации
актуальных угроз.

12. Приказ ФСТЭК России от
18.02.2013 № 21
"Об утверждении Состава и содержания
организационных и технических мер по
обеспечению безопасности персональных
данных при их обработке в информационных
системах персональных данных"
взамен Приказа ФСТЭК РФ от 05.02.2010 № 58
"Об утверждении Положения о методах и способах
защиты информации в информационных системах
персональных данных"

13. Приказ ФСТЭК России от
18.02.2013 № 21
меры по обеспечению безопасности персональных данных:
идентификация и аутентификация субъектов доступа и
объектов доступа;
управление доступом субъектов доступа к объектам доступа;
ограничение программной среды;
защита машинных носителей информации, на которых
хранятся и (или) обрабатываются персональные данные;
регистрация событий безопасности;
антивирусная защита;
обнаружение (предотвращение) вторжений;
контроль (анализ) защищенности персональных данных;

14. Приказ ФСТЭК России от
18.02.2013 № 21
обеспечение целостности ИС и персональных данных;
обеспечение доступности персональных данных;
защита среды виртуализации;
защита технических средств;
защита информационной системы, ее средств, систем связи и
передачи данных;
выявление инцидентов (одного события или группы событий),
которые могут привести к сбоям или нарушению
функционирования информационной системы и (или) к
возникновению угроз безопасности персональных данных (далее
- инциденты), и реагирование на них;
управление конфигурацией ИС и СЗПДн.

15. Постановление Правительства РФ
от 27 января 2012 г. № 36
«Об утверждении Правил формирования и
ведения федеральной информационной системы
обеспечения проведения единого
государственного экзамена и приема граждан в
образовательные учреждения среднего
профессионального образования и
образовательные учреждения высшего
профессионального образования и региональных
информационных систем обеспечения
проведения единого государственного экзамена».

16. Постановление Правительства РФ
от 27 января 2012 г. № 36
В целях формирования и ведения региональных
информационных систем органы исполнительной власти
субъектов Российской Федерации обеспечивают следующие
мероприятия:
в) обеспечение безопасного хранения и использования сведений,
содержащихся в региональных информационных системах;
д) обеспечение доступа к сведениям, содержащимся в
региональных информационных системах, в установленном
порядке;
е) обеспечение защиты сведений, содержащихся в региональных
информационных системах;
ж) обеспечение взаимодействия региональных информационных
систем с федеральной информационной системой.

17. Постановление Правительства РФ
от 27 января 2012 г. № 36
Руководители органов и организаций, назначают лиц,
ответственных за внесение сведений в соответствующие
информационные системы.
Лицам, ответственным за внесение сведений в
соответствующие информационные системы, выдаются
средства электронной подписи, получившие подтверждение
соответствия требованиям, установленным в соответствии с
Федеральным законом "Об электронной подписи". Внесение
сведений осуществляется после регистрации указанных лиц в
соответствующей информационной системе. Внесение
сведений осуществляется в электронной форме.

18. Постановление Правительства РФ
от 27 января 2012 г. № 36
Обмен информацией, в том числе при взаимодействии
федеральной и региональных информационных систем,
осуществляется в электронной форме через
защищенную сеть передачи данных с применением
шифровальных (криптографических) средств и (или)
средств электронной подписи, получивших соответствие
требованиям, установленным ФЗ "Об электронной
подписи".
Руководители органов и организаций назначают лиц,
имеющих право доступа к сведениям, содержащимся в
соответствующих информационных системах.

19. Постановление Правительства РФ
от 27 января 2012 г. № 36
Хранение и обработка сведений, содержащихся в
федеральной и региональных информационных
системах, а также обмен информацией при
взаимодействии федеральной и региональных
информационных систем осуществляются после
принятия необходимых мер по защите указанных
сведений от повреждения или утраты,
предусмотренных нормативными правовыми актами
Российской Федерации в области защиты информации,
включая следующие меры:

20. Постановление Правительства РФ
от 27 января 2012 г. № 36
а) разграничение доступа к федеральной и
региональным информационным системам, наличие
разрешительной системы допуска к федеральной и
региональным информационным системам;
б) целостность программных средств федеральной и
региональных ИС, обрабатываемой информации, а
также неизменность программной среды. При этом
целостность указанных ИС проверяется при их загрузке
по наличию идентификаторов их компонентов, а
целостность программной среды обеспечивается
отсутствием в ИС средств разработки и отладки
программ;

21. Постановление Правительства РФ
от 27 января 2012 г. № 36
в) регистрация действий лиц, имеющих доступ к
федеральной и региональным ИС, а также контроль от
несанкционированного доступа;
г) физическая охрана технических средств федеральной
и региональных информационных систем (устройств и
носителей информации), предусматривающая
постоянное наличие охраны территорий и зданий, в
которых эксплуатируются соответствующие
информационные системы, а также исключение
возможности неконтролируемого проникновения или
пребывания на этих территориях и в этих зданиях
посторонних лиц;

22. Постановление Правительства РФ
от 27 января 2012 г. № 36
ж) использование средств защиты информации,
прошедших в установленном порядке процедуру
оценки соответствия;
з) использование защищенных каналов связи;
и) предотвращение внедрения в информационные
системы вредоносных программного обеспечения и
программных средств.

23. Постановление Правительства РФ
от 27 января 2012 г. № 36
Руководители органов и организаций, осуществляющих
деятельность по эксплуатации федеральной и
региональных информационных систем, а также
имеющих доступ к сведениям, содержащимся в
федеральной и региональных информационных
системах, назначают лиц, ответственных за
обеспечение мер по защите указанных сведений,
предусмотренных настоящими Правилами.

24. Постановление Правительства РФ
от 27 января 2012 г. № 36
Органами и организациями определяется модель угроз
безопасности сведений, содержащихся в федеральной и
региональных ИС. На основании модели угроз
безопасности сведений, содержащихся в федеральной и
региональных ИС, и в зависимости от класса
соответствующих ИС, определенного в соответствии с
законодательством РФ в области защиты информации,
руководители указанных органов и организаций
осуществляют выбор установленных в соответствии с
законодательством РФ в области защиты информации
методов и способов защиты указанных сведений.

25. Постановление Правительства РФ
от 21 марта 2012 г. № 211
"Об утверждении перечня мер, направленных на
обеспечение выполнения обязанностей, предусмотренных
Федеральным законом "О персональных данных" и
принятыми в соответствии с ним нормативными правовыми
актами, операторами, являющимися государственными или
муниципальными органами«
Операторы, являющиеся государственными или муниципальными
органами, принимают следующие меры, направленные на обеспечение
выполнения обязанностей, предусмотренных Федеральным законом "О
персональных данных" и принятыми в соответствии с ним нормативными
правовыми актами:
назначают ответственного за организацию обработки персональных
данных в государственном или муниципальном органе из числа
служащих данного органа.

26. Постановление Правительства РФ
от 21 марта 2012 г. № 211
утверждают актом руководителя государственного или муниципального
органа следующие документы:
- правила обработки персональных данных, устанавливающие
процедуры, направленные на выявление и предотвращение нарушений
законодательства Российской Федерации в сфере персональных данных;
- правила рассмотрения запросов субъектов персональных данных или
их представителей;
- правила осуществления внутреннего контроля соответствия
обработки персональных данных требованиям к защите
персональных данных,
- правила работы с обезличенными данными;
- перечень информационных систем персональных данных;
- перечни персональных данных, обрабатываемых в государственном
или муниципальном органе

27. Постановление Правительства РФ
от 21 марта 2012 г. № 211
- должностная инструкция ответственного за организацию обработки
персональных данных в государственном или муниципальном органе;
- типовое обязательство служащего государственного или
муниципального органа, непосредственно осуществляющего обработку
персональных данных, в случае расторжения с ним государственного или
муниципального контракта прекратить обработку персональных данных,
ставших известными ему в связи с исполнением должностных
обязанностей;
- типовая форма согласия на обработку персональных данных
служащих государственного или муниципального органа, иных субъектов
персональных данных, а также типовая форма разъяснения субъекту
персональных данных юридических последствий отказа предоставить свои
персональные данные;
- порядок доступа служащих государственного или муниципального
органа в помещения, в которых ведется обработка персональных данных.

28. Постановление Правительства РФ
от 21 марта 2012 г. № 211
д) в целях осуществления внутреннего контроля соответствия обработки
персональных данных установленным требованиям организуют
проведение периодических проверок условий обработки персональных
данных в государственном или муниципальном органе. Проверки
осуществляются ответственным за организацию обработки
персональных данных в государственном или муниципальном органе
либо комиссией, образуемой руководителем государственного или
муниципального органа. О результатах проведенной проверки и мерах,
необходимых для устранения выявленных нарушений, руководителю
государственного или муниципального органа докладывает
ответственный за организацию обработки персональных данных в
государственном или муниципальном органе либо председатель
комиссии.

29. Постановление Правительства РФ
от 21 марта 2012 г. № 211
ж) уведомляют уполномоченный орган по защите прав
субъектов персональных данных об обработке (намерении
осуществлять обработку) персональных данных, за
исключением случаев, установленных Федеральным законом
«О персональных данных».
2. Документы, определяющие политику в отношении
обработки персональных данных, подлежат опубликованию
на официальном сайте государственного или
муниципального органа в течение 10 дней после их
утверждения.

30. Регуляторы
Роскомнадзор (права субъектов ПДн)
ФСБ России (шифрование)
ФСТЭК России (технические средства)
Прокуратура (соблюдение законодательства)
Планы проверок на порталах.

31. Регуляторы
Законопроект, если его примут, даст
Роскомнадзору право привлекать к
ответственности человека или фирму за
нарушения при работе с персональными
данными. Самое важное новшество в
документе - если нарушения обнаружатся, то
Роскомнадзор сможет сам возбуждать
административные дела, сам их
рассматривать и выносить решения.

32. Регуляторы
Наказания за нарушения в области персональных
данных могут вырасти в десятки раз. Сегодня по
закону можно предупредить или оштрафовать:
если речь идет об отдельных гражданах, то это от
300 до 500 руб., организация от 5 до 10 тыс. руб.
В будущем документе для граждан наказание
повысится до 15 тыс. руб., для чиновников,
которые недосмотрели за персональными
данными штраф возрастет до 50 тыс. руб.
Для организаций - до 500 тыс. руб.

33. Работы по защите ИСПДн
Проведение обследования информационных систем (акт).
Разработка Частной модели угроз безопасности ПДн.
Оценка уровня защищенности (акт).
Разработка Технического задания на создание системы
защиты ПДн.
Подготовка комплекта проектов внутренней нормативной
документации по защите ПДн.
Поставка и настройка средств защиты ПДн.
Программа и методика, протокол проведения
аттестационных испытаний, заключение, выдача аттестата
соответствия.

34. Перечень ОРД





Матрица доступа сотрудников (наименование
организации) к защищаемым информационным
ресурсам (файлам резервного копирования).
Положение об обработке персональных данных.
Приказ о создании комиссии по классификации
информационных систем персональных данных.
Акт ввода в эксплуатацию системы защиты
персональных данных.
Акт об уничтожении материальных носителей
персональных данных.

35. Перечень ОРД




Ведомость учета электронных, магнитных и
оптических носителей, на которых обрабатываются
персональные данные и другая конфиденциальная
информация.
Журнал по учету файлов операционной системы
персональных данных и другой конфиденциальной
информации, созданных при резервном копировании.
Журнал регистрации и учета обращений субъектов
персональных данных.
Журнал учета выдачи эксплуатационной и технической
документации на средства защиты информации,
используемые в организации.

36. Перечень ОРД
Журнал по учету ПДн, обрабатываемых на электронных,
магнитных и оптических носителях информации,
подлежащих уничтожению.
Инструкция администратора безопасности по
обеспечению безопасности ПДн при их обработке.
Инструкция о порядке доступа (служащих
государственного или муниципального органа) в
помещения, в которых ведется обработка ПДн.
Инструкция об организации охраны помещений, в
которых ведется обработка персональных данных и
другой конфиденциальной информации.

37. Перечень ОРД
Инструкция по организации антивирусной защиты.
Инструкция по организации парольной защиты.
Инструкция по учету и работе с электронными,
магнитными и оптическими носителями информации, на
которых обрабатываются персональные данные и другая
конфиденциальная информация.
Инструкция по работе пользователей с
информационной системой персональных данных.
Инструкция системного администратора в части
обеспечения безопасности персональных данных при их
обработке.

38. Перечень ОРД
Положение о разрешительной системе допуска к
информационным ресурсам.
Порядок планирования и проведения проверок
информационной безопасности.
Порядок уничтожения информации, содержащей ПДн,
при достижении целей обработки или при наступлении
иных законных оснований.
Правила обработки персональных данных.
Правила осуществления внутреннего контроля
соответствия обработки персональных данных
требованиям к защите персональных данных.

39. Перечень ОРД
Приказ об утверждении должностной инструкции
ответственного за организацию обработки персональных
данных.
Приказ об утверждении Правил рассмотрения запросов
субъектов персональных данных или их представителей.
Приказ о назначении администратора безопасности при
обработке персональных данных в ИСПДн.
Приказ о назначении ответственного за организацию
обработки персональных данных.
Приказ о назначении системного администратора
безопасности при обработке персональных данных в
ИСПДн.

40. Перечень ОРД
Приказ о защите ПДн, обрабатываемых в
информационных системах персональных данных.
Приказ о работе с электронными, магнитными и
оптическими носителями персональных данных и другой
конфиденциальной информации.
Описание технологического процесса по организации
резервного копирования данных с электронных,
магнитных и оптических носителей информации, на
которых обрабатываются персональные данные и другая
конфиденциальная.
Описание технологического процесса обработки
персональных данных.

41. Средства защиты информации
Средства защиты от НСД
Антивирусные средства
Межсетевые экраны
Системы предотвращения атак
Средства анализа защищенности
Средства защиты от утечки по каналам ПЭМИН
Средства криптографической защиты

42. Средства защиты информации
Dallas Lock 8.0-К (от НСД)
Антивирус Dr.Web® Desktop Security Suite с
пакетом сертификации
ПО ViPNet Клиент версии 3.х (МСЭ, защита
каналов связи)
Ревизор сети на 5 ip-адресов (анализ
защищенности)
USB-ключ eToken PRO (Java), защищённая
память 72КБ, сертификат ФСТЭК №1883 (ИАФ)

43. Технология ViPNet
Технология ViPNet обеспечивает максимально быстрое
развертывание внутриведомственных защищенных
решений на базе имеющихся у ведомств локальных
сетей, доступных ресурсов глобальных (включая
Интернет) и ведомственных телекоммуникационных
сетей, телефонных и выделенных каналов связи,
средств стационарной, спутниковой и мобильной
радиосвязи и др.
При этом, в полной мере может использоваться уже
имеющееся у ведомств оборудование (компьютеры,
сервера, маршрутизаторы, коммутаторы, Межсетевые
Экраны (МЭ) и т.д.).

44. Технология ViPNet
ViPNet Business Mail (Деловая Почта) выполняет
функции почтового клиента защищенной почтовой
службы и позволяет:
 Формировать и отсылать письма адресатам
защищенной сети через простой графический интерфейс
пользователя, возможна многоадресная рассылка;
 Использовать встроенные механизмы ЭЦП для
подписи, в том числе множественной, текста письма и
его вложений.

45. Технология ViPNet
 Контролировать все этапы «жизни» письма благодаря
встроенному механизму обязательного квитирования писем.
Можно всегда убедиться, что письмо было доставлено, прочитано,
открыты вложения, квитанции об этих событиях могут
автоматически подписывать ЭЦП получателя;
 Благодаря встроенной функции аудита иметь историю удаления
писем;
 Вести архивы писем и при необходимости легко переключаться
между текущим хранилищем писем и этими архивами;
 Использовать мощный механизм автоматической обработки
входящей корреспонденции - задавать правила обработки
входящих писем и файлов, и правила по автоматической отправке
писем с заданными файлами.

46. Технология ViPNet
Чат-клиент – позволяет пользоваться услугами сервиса
обмена мгновенными защищенными сообщениями и
организации чат-конференций между объектами
защищенной сети ViPNet, на которых установлены ViPNet
Client или ViPNet Coordinator (Windows).
 Клиент службы обмена файлами – позволяет
обмениваться между объектами защищенной сети ViPNet
любыми файлами без установки дополнительного ПО
(например, FTP -сервера/клиента) или использования
функций ОС по общему доступу к файлам через сеть. Обмен
файлами производится через защищенную транспортную
сеть ViPNet с гарантированной доставкой и «докачкой»
файлов при обрыве связи!

47. Регламент подключения к ФИС
В большинстве случаев подключение к ФИС /ГИС
(например, СМЭВ, ГИС ГМП) каких-либо ресурсов
регламентируется путем проведения их обязательной
аттестации на предмет соблюдения требований
законодательства и иных нормативных актов либо
самостоятельной проверкой соблюдения требований,
указанных в регламенте (в т.ч. по использованию
средств защиты информации, включая ViPNet).

48. Сроки выполнения и
стоимость работ «под ключ» с
выдачей аттестата соответствия
30-45 дней
около 50 тыс. руб. на 1 АРМ

49. Услуги Учебного центра
Курс: «Обеспечение безопасности
персональных данных при их обработке в
информационных системах персональных
данных» (72 часа). Согласован с ФСТЭК
России.
Стоимость обучения:
очного – 25 тыс. руб.
дистанционного – 15 тыс. руб.

50. Вопросы?
Сергей Мармоленко
менеджер отдела
комплексных решений
группы компаний «ГЭНДАЛЬФ»
г. Ростов-на-Дону, ул. 9-я линия, 14
тел. +7 (863) 223-66-00 доб. 2736
моб. +7 (961) 432-11-00
e-mail: mars@gendalf.ru