Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

Семинар "Выполнение требований законодательства о персональных данных"

2,529 views

Published on

Published in: Education
  • Be the first to comment

Семинар "Выполнение требований законодательства о персональных данных"

  1. 1. Выполнение требований законодательства о персональных данных
  2. 2. 2 Виды информации ограниченного доступа: 1. Государственная тайна (Закона РФ от 21.07.93 № 5485-1 «О гос. тайне») 2. Коммерческая тайна (ФЗ от 29.07.04 № 98-ФЗ «О комм. тайне») 3. Персональные данные (ФЗ от 27.07.06 № 152-ФЗ «О перс. данных») 4. Служебная тайна (возможно будет введён, в наст. время ФЗ отсутствует) 5. Налоговая тайна 6. Банковская тайна 7. Врачебная тайна 8. Нотариальная тайна 9. Адвокатская тайна 10. Аудиторская тайна 11. Тайна страхования 12. Тайна связи (ст. 53 и 63 от 07.07.2003 № 126-ФЗ «О связи») 13. Личная, семейная тайна И другие виды информации ограниченного доступа.«Выполнение требований законодательства оперсональных данных». 5 апреля 2012 г.
  3. 3. Информация с ограниченным доступом, не содержащая сведений, составляющих 3 государственную тайну (информация конфиденциального характера) (Указ Президента РФ от 6 марта 1997 г. № 188)Персональные данные - любая информация, относящаяся к прямо или Закон Требованиякосвенно определенному или определяемому физическому лицу (субъектуперсональных данных); есть естьФедеральный закон ст. 3 п.1 от 27 07. 2006 г. №152-ФЗКоммерческая тайна - конфиденциальность информации, позволяющая ее обладателюпри существующих или возможных обстоятельствах увеличить доходы, избежатьнеоправданных расходов; информация, …. которая имеет действительную или есть естьпотенциальную коммерческую ценность в силу неизвестности ее третьим лицам, ккоторой нет свободного доступа на законном основании и в отношении которойобладателем такой информации введен режим коммерческой тайны;Служебная тайна - сведения, доступ к которым ограничен органами государственнойвласти в соответствии с Гражданским кодексом Российской Федерации и федеральнымизаконами. Указ Президента РФ 97 г № 188. Защищаемая по закону конфиденциальнаяинформация, ставшая известной в государственных органах и органах местного нет нетсамоуправления только на законных основаниях и в силу исполнения их представителямислужебных обязанностей, а также служебная ин формация о деятельностигосударственных органов, доступ к которой ограничен федеральным законом или в силуслужебной необходимости (по ГОСТ Р 51583), упоминается в ФЗ-от 27.07.2006 №149.Профессиональная тайна - информация, полученная гражданами (физическимилицами) при исполнении ими профессиональных обязанностей или организациями приосуществлении ими определенных видов деятельности Ст. 9 п. 5 ФЗ от 27.07 2006 № 149.. нет нетОбъекты ПТ: врачебная тайна, тайна связи, тайна переписки, телефонныхпереговоров, иных сообщений, нотариальная тайна, адвокатская тайна, тайнаусыновления, тайна страхования, тайна исповеди. К ПТ не относится коммерческая игосударственная.«Выполнение требований законодательства оперсональных данных». 5 апреля 2012 г.
  4. 4. Статья 3. Основные понятия, используемые в настоящем Федеральном 4 законеПерсональные данные - любая информация, относящаяся к прямо иликосвенно определенному или определяемому физическому лицу (субъектуперсональных данных)Обработка персональных данных - любое действие (операция) илисовокупность действий (операций), совершаемых с использованием средствавтоматизации или без использования таких средств с персональнымиданными, включаясбор, запись, систематизацию, накопление, хранение, уточнение(обновление, изменение), извлечение, использование, передачу(распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данныхАвтоматизированная обработка персональных данных - обработкаперсональных данных с помощью средств вычислительной техники«Выполнение требований законодательства оперсональных данных». 5 апреля 2012 г.
  5. 5. 5
  6. 6. Статья 6. Условия обработки персональных данных 6 Условия обработки Персональных данныхОбработка ПДн … с согласия субъектов; Согласия субъектов ПДн не требуется в случаях:обработка ПДн осуществляется на основании федерального закона, устанавливающего ее цель, условия полученияПДн и круг субъектов, ПДн которых подлежат обработке, а также определяющего полномочия оператора;обработка ПДн осуществляется в целях исполнения договора, одной из сторон которого является субъект ПДн;обработка ПДн осуществляется для статистических или иных научных целей при условии обязательногообезличивания ПДн ;обработка ПДн необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта ПДн, если получение согласия субъекта ПДн невозможно;обработка ПДн необходима для доставки почтовых отправлений организациями почтовой связи, дляосуществления операторами электросвязи расчетов с пользователями услуг связи за оказанные услуги связи, атакже для рассмотрения претензий пользователей услугами связи .обработка ПДн необходима для доставки почтовых отправлений организациями почтовой связи, дляосуществления операторами электросвязи расчетов с пользователями услуг связи за оказанные услуги связи, атакже для рассмотрения претензий пользователей услугами связи .обработка ПДн данных осуществляется в целях профессиональной деятельности журналиста либо в целяхнаучной, литературной или иной творческой деятельности при условии, что при этом не нарушаются права исвободы субъекта ПДн ;осуществляется обработка персональных данных, подлежащих опубликованию в соответствии с федеральнымизаконами, в том числе персональных данных лиц, замещающих государственные должности, должностигосударственной гражданской службы, персональных данных кандидатов на выборные государственные илимуниципальные должности.
  7. 7. Письменное согласие субъекта персональных данных 7Письменное согласие субъекта персональных данных на обработку своих персональных данных должно включать в себя:1) фамилию, имя, отчество, адрес субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;2) наименование (фамилия, имя, отчество) и адрес оператора, получающего согласие субъекта персональных данных;3) цель обработки персональных данных;4) перечень персональных данных, на обработку которых дается согласие субъекта персональных данных;5) перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых оператором способов обработки персональных данных;6) срок, в течение которого действует согласие, а также порядок его отзыва.Для обработки персональных данных, содержащихся в согласии в письменной форме субъекта на обработку его персональных данных, дополнительное согласие не требуется.«Выполнение требований законодательства оперсональных данных». 5 апреля 2012 г.
  8. 8. Уведомление об обработке персональных данных (ст.22) 8Оператор до начала обработки персональных данных обязан уведомитьуполномоченный орган по защите прав субъектов персональных данных о своемнамерении осуществлять обработку персональных данных, за исключением случаевобработки таких данных:относящихся к субъектам персональных данных, которых связывают с оператором трудовыеотношенияполученных оператором в связи с заключением договора, стороной которого является субъектперсональных данных, если персональные данные не распространяются, а также непредоставляются третьим лицам без согласия субъекта персональных данных и используютсяоператором исключительно для исполнения указанного договора и заключения договоров ссубъектом персональных данныхявляющихся общедоступными персональными даннымивключающих в себя только фамилии, имена и отчества субъектов персональных данныхнеобходимых в целях однократного пропуска субъекта персональных данных на территорию, накоторой находится оператор, или в иных аналогичных целяхнеобходимых в целях однократного пропуска субъекта персональных данных на территорию, накоторой находится оператор, или в иных аналогичных целяхвключенных в информационные системы персональных данных, имеющие в соответствии сфедеральными законами статус федеральных автоматизированных информационных систем, атакже в государственные информационные системы персональных данных, созданные в целяхзащиты безопасности государства и общественного порядкаобрабатываемых без использования средств автоматизации
  9. 9. Основные элементы государственной системы 9 ПРОВЕРКИ (контроль и Федеральная служба по надзор) надзору в сфере Уполномоченный орган по защите прав связи, информационных субъектов персональных данных технологий и массовых коммуникаций (Роскомнадзор) ПРОВЕРКИ в ТРЕБОВАНИЯ гос.инф.сист ПО ЗАЩИТЕ . ПДн Федеральная служба по Федеральный орган исполнительной власти, уполномоченный в области противодействия техническому и экспортному техническим разведкам и технической защиты контролю России информации ТРЕБОВАНИЯ + КОНТРОЛЬ И НАДЗОР (в части криптографии/ средств шифрования информации) Федеральный орган исполнительной власти, Федеральная служба уполномоченный в области обеспечения безопасности России безопасности«Выполнение требований законодательства оперсональных данных». 5 апреля 2012 г.
  10. 10. Контроль и надзор за выполнением требований ФЗ «О персональных 10 данных» Задачи Роскомнадзора Обеспечение контроля и надзора за соответствием обработки персональных данных требованиям Федерального закона «О персональных данных» Ведение реестра операторов, осуществляющих обработку персональных данных. Рассмотрение обращений субъектов персональных данных, а также принятие в пределах своих полномочий решений по результатам их рассмотрения. Подготовка предложений по совершенствованию нормативно-правового регулирования в области защиты прав субъектов персональных данных. Видами проверок в соответствии с ФЗ N 294-ФЗ «О защите прав юридических лиц и индивидуальных предпринимателей при осуществлении государственного контроля (надзора) и муниципального контроля» являются плановые, внеплановые, документарные, выездные. Основаниями для проведения проверок являются: Ежегодный план проверок операторов персональных данных со сведениями, определяемыми ч. 4. ст. 9 ФЗ-294, который должен размещаться на сайте РОСКОМНАДЗОРА. Истечение срока исполнения оператором ранее выданного предписания об устранении нарушений. Поступлений в РОСКОМНАДЗОР обращений и заявлений о фактах нарушений законодательства.«Выполнение требований законодательства оперсональных данных». 5 апреля 2012 г.
  11. 11. АДМИНИСТРАТИВНЫЙ РЕГЛАМЕНТ 11 проведения проверок Роскомнадзором (Утвержден приказом от 1.12.2009 г. № 630) Основание для включения оператора в план проверок (п. 22 Регламента): Основанием для включения плановой проверки в План является начало осуществления Оператором деятельности по обработке персональных данных, а также истечение трех лет со дня: - государственной регистрации Оператора в качестве юридического лица, индивидуального предпринимателя; - окончания проведения последней плановой проверки Оператора. Таким образом, включить в план проверок могут практически любую организацию, либо предпринимателя, осуществляющего обработку персональных данных. С планом проверок на 2012 год можно ознакомиться на сайте Роскомнадзора по ссылке http://www.rsoc.ru/plan-and-reports/contolplan/«Выполнение требований законодательства оперсональных данных». 5 апреля 2012 г.
  12. 12. 12Контроль и надзор за выполнением технических требований по обеспечению безопасности персональных данных• Задача контроля и надзора за выполнением технических требований по обеспечению безопасности персональных данных возложена на федеральный орган исполнительной власти, уполномоченным в области обеспечения безопасности (ФСБ России), и федеральный орган исполнительной власти, уполномоченный в области противодействия техническим разведкам и технической защиты информации (ФСТЭК России), в пределах их полномочий и без права ознакомления с персональными данными, обрабатываемыми в информационных системах персональных данных. (ФЗ-152 «О персональных данных» пп. 5.1, 6 ч. 1 ст. 23, п. 5 ч. 5 ст. 23)В настоящее время разрабатывается совместное положениеРоскомнадзора, ФСТЭК России и ФСБ России, определяющее порядок проведениякомплексного контроля и надзора за деятельностью операторов, связанной собработкой персональных данных.«Выполнение требований законодательства оперсональных данных». 5 апреля 2012 г.
  13. 13. Ответственность за нарушение требований Федерального закона 13 «О персональных данных»Статья 24.Лица, виновные в нарушении требований настоящего Федерального закона, несут предусмотренную законодательством Российской Федерации ответственность.«Выполнение требований законодательства оперсональных данных». 5 апреля 2012 г.
  14. 14. 14
  15. 15. Риски неисполнения требований законодательства по защите персональных 15 данных Неисполнение требований Закона «О персональных данных» влечет для организации риски следующего характера: Гражданские иски со стороны клиентов или работников. Приостановление или прекращение обработки персональных данных в организации. Привлечение организации и (или) ее руководителя к административной, уголовной, гражданской, дисциплинарной и иным видам ответственности. Приостановление действия или аннулирование лицензий на основной вид деятельности организации. Репутационные риски. Риски недобросовестной конкуренции (приостановления деятельности организации с подачи конкурентов при имеющихся нарушениях правил защиты персональных данных).«Выполнение требований законодательства оперсональных данных». 5 апреля 2012 г.
  16. 16. 16 Основные нормативные правовые акты, нормативные и методические документы, в области ЗИ ПДн1. Федеральный закон от 27.07.06 г. № 152 «О персональных данных».2. Указ Президента Российской Федерации от 17.03.08 г. № 351 «О мерах по обеспечению информационной безопасности российской Федерации при использовании информационно- телекоммуникационных сетей международного информационного обмена» (в ред. Указа Президента РФ от 21.10.08 г. № 1510).3. Положение об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных (Утверждено Постановлением Правительства РФ от 17.11.07 г. № 781).4. Положение об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации (Утверждено Постановлением Правительства РФ от 15.09.08 г. № 687).5. Специальные требования и рекомендации по технической защите конфиденциальной информации (Утверждены приказом Гостехкомиссии России от 30.08.02 г. № 282).6. Об утверждении образца формы уведомления об обработке персональных данных (приказ Россвязьохранкультуры от 13.05.08 г. № 340).7. Об утверждении Порядка проведения классификации информационных систем персональных данных (приказ Федеральной службы по техническому и экспортному контролю (ФСТЭК России), Федеральной службы безопасности Российской Федерации (ФСБ России), Министерства информационных технологий и связи Российской Федерации (Мининформсвязи России) от 13.02.08 г. № 55/86/20 г. Москва).8. Приказ ФСТЭК России от 05.02.2008 г. № 58 «Об утверждении положения «О методах и способах защиты информации в информационных системах персональных данных» «Выполнение требований законодательства о персональных данных». 5 апреля 2012 г.
  17. 17. 17Проблемы реализации требований нормативных правовых актов в области защиты персональных данных Проблемы правового характера в связи с неоднозначностью положений ФЗ «О персональных данных», затратными, противоречивыми механизмами его реализации. Организационные проблемы, связанные с ограниченными правами Роскомнадзора, ограниченными ресурсами операторов персональных данных и ограниченным потенциалом лиценциатов, оказывающих услуги по их защите. Финансовые проблемы, связанные с отсутствием бюджетного финансирования органов государственной власти, местного самоуправления и бюджетных организаций.«Выполнение требований законодательства оперсональных данных». 5 апреля 2012 г.
  18. 18. Основания для осуществления классификации информационных 18 18 систем персональных данныхПОЛОЖЕНИЕ п. 6. Информационные системы (ИС)об обеспечении классифицируются операторами в зависимости отбезопасности объема обрабатываемых ими персональных данныхперсональных данных (ПДн) и угроз безопасности жизненно важнымпри их обработке в ИС интересам личности, общества и государстваперсональных данных(постановление Классификация ИС проводится оператором с цельюПравительства РФ от 17. установления методов и способов защиты11. 2007 № 781) информации, необходимых для обеспечения безопасности ПДн Порядок проведения классификации ИС устанавливается совместно ФСТЭК России, ФСБ России, Мининформсвязи России ПОРЯДОК проведения классификации ИС персональных данных (приказ № 55/86/20 от 13.02.2008)
  19. 19. 19 19Типы информационных систем персональных данных и характеристики безопасности Типовые информационные системы Специальные информационные системы Информационные •ИС, в которых обрабатываются персональные системы данные, касающиеся состояния здоровья субъектов персональных персональных данных данных •ИС, в которых предусмотрено принятие решений на основании исключительно автоматизированной обработки персональных данных структура информационной системы наличие подключений информационной системы к внешним Характеристики общедоступным сетям безопасности режим обработки персональных данных персональных данных режим разграничения прав доступа пользователей информационной системы местонахождение технических средств ИС«Выполнение требований законодательства оперсональных данных». 5 апреля 2012 г.
  20. 20. 20 Типы информационных систем персональных данных 20 автоматизированные рабочие места (автономные) локальные информационные системы распределенные информационные системы«Выполнение требований законодательства оперсональных данных». 5 апреля 2012 г.
  21. 21. 21 21 Категории обрабатываемых в ИС персональных данных Х пд ПДн, касающиеся расовой, национальной Категория 1 принадлежности, политических взглядов, религиозных и философских убеждений, состояния здоровья, интимной жизни ПДн, позволяющие идентифицировать субъекта Категория 2 персональных данных и получить о нем дополнительную информацию ПДн, позволяющие идентифицировать субъекта Категория 3 персональных данных Категория 4 обезличенные и (или) общедоступные ПДн«Выполнение требований законодательства оперсональных данных». 5 апреля 2012 г.
  22. 22. 22 22 Объем обрабатываемых персональных данных Х нпд в ИС одновременно обрабатываются персональные данные более чем 100 000 субъектов персональных данных или персональные 1 данные уровня: •субъект РФ •Российская Федерация в ИС одновременно обрабатываются персональных данные от 1000 до 100 000 субъектов ПДн или персональные данные уровня: 2 •отрасль экономики РФ •муниципальное образование •орган государственной власти РФ в информационной системе одновременно обрабатываются 3 данные менее чем 1000 субъектов персональных данных или персональные данные уровня: •конкретная организация«Выполнение требований законодательства оперсональных данных». 5 апреля 2012 г.
  23. 23. Алгоритм классификации типовых информационных систем 23 23 персональных данных ХпдХнпд 3 2 1 4 категория К4 К4 К4 Определение объема 3 категория К3 К3 К2 обрабатываемых в ИС 2 категория К3 К2 К1 персональных данных (Xнпд = 1…3) 1 категория К1 К1 К1 Определение категории обрабатываемых в ИС Определение класса ИСПДн персональных данных (Xпд = 1…4) Акт оператора«Выполнение требований законодательства оперсональных данных». 5 апреля 2012 г.
  24. 24. Классы информационных систем персональных данных 24 24 Описание класса ИС, для которых нарушение заданной характеристики безопасности Класс 1 (К1) ПД, обрабатываемых в них, может привести к значительным негативным последствиям для субъектов ПДн ИС, для которых нарушение заданной характеристики безопасности Класс 2 (К2) ПД, обрабатываемых в них, может привести к негативным последствиям для субъектов ПДн ИС, для которых нарушение заданной характеристики безопасности Класс 3 (К3) ПД, обрабатываемых в них, может привести к незначительным негативным последствиям для субъектов ПДн ИС, для которых нарушение заданной характеристики безопасности Класс 4 (К4) ПД, обрабатываемых в них, не приводит к негативным последствиям для субъектов ПД«Выполнение требований законодательства оперсональных данных». 5 апреля 2012 г.
  25. 25. 25 Методы снижения класса ИСПДн По результатам анализа исходных данных класс специальной информационной системы определяется на основе модели угроз безопасности персональных данных согласно методическим документам, разрабатываемых в соответствии с пунктом 2 постановления Правительства Российской Федерации от 17 ноября 2007 г. N 781 "Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных". В случае выделения в составе информационной системы подсистем, каждая из которых является информационной системой, информационной системе в целом присваивается класс, соответствующий наиболее высокому классу входящих в нее подсистем. Результаты классификации информационных систем оформляются соответствующим актом оператора. Класс информационной системы может быть пересмотрен: по решению оператора на основе проведенных им анализа и оценки угроз безопасности персональных данных с учетом особенностей и (или) изменений конкретной информационной системы; по результатам мероприятий по контролю за выполнением требований к обеспечению безопасности персональных данных при их обработке в информационной системе.«Выполнение требований законодательства оперсональных данных». 5 апреля 2012 г.
  26. 26. 26 Методы снижения класса ИСПДн Исключение из обработки в ИСПДн предприятия персональных данных 1 категории, либо использование для их обработки отдельной ИСПДн Разделение ПДн по категориям и целям их обработки с выделением в особые зоны хранения и обработки ПДн, определяющих итоговое значение коэффициента Хпдн Обезличивание ПДн с выводом информации, позволяющей установить однозначную связь между субъектом ПДн и его персональными данными.для хранения и обработки в специально выделенные ИСПДн Физическое разделение ИСПДн на части при отсутствии производственной необходимости объединения происходящих процессов обработки в случаях, когда такое объединение приводит к изменению значения Хпдн от 1 к 2 или от 2 к 3. Логическое разделение (включая локализацию хранения ПДн) ИСПДн на сегменты с применением сертифицированных средств межсетевого экранирования, обеспечивающее технологический процесс хранения и обработки ПДн, разделяемых по признакам объема, территориальной либо отраслевой принадлежности, когда такое разделение сопровождается соответствующим изменением объема ПДн и значения коэффициента Хпдн«Выполнение требований законодательства оперсональных данных». 5 апреля 2012 г.
  27. 27. Субъекты и объекты защиты информации конфиденциального характера 27Техническая защита конфиденциальной информации - защита информации некриптографическими методами, направленными на предотвращение утечки защищаемойинформации по техническим каналам, от несанкционированного доступа к ней, от специальныхвоздействий на информацию в целях ее уничтожения, искажения и блокирования (СТР-К) Объекты информатизации: ИС, в т.ч. программные средства, в Субъекты Что которых обрабатывается и деятельности по хранится информация, на доступ к подлежит которой установлены ограничения защите конфиденциальной защите федеральными законами, средства защиты информации информации, общедоступная информация Органы От утечки по техническим власти, уполномоче каналам, неправомерного нные органы От каких доступа, уничтожения, модифицир власти, организации угроз ования, блокирования, копировани , обрабатывающие я, предоставления, распространен информацию на ия, а также от иных объектах неправомерных действий. информатизации, ор ганизации - Комплекс лицензиаты Как правовых, организационных и защищать технических мер «Выполнение требований законодательства о персональных данных». 5 апреля 2012 г.
  28. 28. 28Порядок классификации ИСПДн и обоснования требований к системе защиты персональных данных 28
  29. 29. 29 Информационные Программные средства, средства ресурсы, средства и системы защиты информатизации (СВТ, АС информации, используемые дляразличного уровня), средства и обработки конфиденциальной системы связи и передачи информации данных ОБЪЕКТЫ ЗАЩИТЫ Технические средства и системы не обрабатывающие непосредственно Защищаемые помещения конфиденциальную информацию, но размещенные в помещениях, где она обрабатывается«Выполнение требований законодательства оперсональных данных». 5 апреля 2012 г.
  30. 30. 30 ОСНОВНЫЕ НАПРАВЛЕНИЯ ЗАЩИТЫ ИНФОРМАЦИИ Обеспечение защиты информации от хищения, утраты, утечки, уничтожения, искажения, п одделки и блокирования доступа к ней за счет НСД и специальных воздействий Обеспечение защиты информации от утечки по техническим каналам при ее обработке, хранении и передаче по каналам связи«Выполнение требований законодательства оперсональных данных». 5 апреля 2012 г.
  31. 31. 31 Содержание этапов работ по созданию (совершенствованию) системы защиты информации органа власти (организации) Определение объекта защиты, объектов защиты информации, анализ потоков и хранилищ информации, каналов связи, оценка последствий (ущерба) в случае утечки информации или нарушений в работе ИС , содержащих информацию, отнесенную федеральными законами к информации ограниченного доступа) Оценка масштаба основных работ, обоснование их необходимости, определениеосновных требований, предварительная оценка стоимости, выбор исполнителя работ, Определение требований к Концепция (политика) защиты системе ЗИ, замысла на ее создание (совершенствование) информации Техническое задание на разработку Выработка решения системы ЗИ (информационной системы с разделом по ЗИ) Программа создания Планирование работ (совершенствования) системы ЗИ (план работ) Аттестаты соответствия объектов Проведение работ и ввод информатизации, сертификаты объектов в эксплуатацию средств защиты, акт о приемке, приказ о вводе
  32. 32. 32 Алгоритм создания системы ТЗИ на объекте информатизации Обоснование Формулирование Разработка Оценка требований задач ТЗИ замысла или обстановки по защите концепции информации ТЗИ Проведение Решение вопросов Выбор способов НИОКР по Планирование управления и (мер и средств) разработке ТЗИ обеспечения ТЗИ ТЗИ СТЗИ Привлечение подразделений Разработка Развертывание иорганизации, специализированны документации ввод в опытную х сторонних организаций к по вопросам эксплуатацию разработке и развертыванию организации системы ТЗИ системы ТЗИ системы ТЗИ«Выполнение требований законодательства оперсональных данных». 5 апреля 2012 г.
  33. 33. 33 ОСНОВНЫЕ МЕРЫ ПО ЗАЩИТЕ ИНФОРМАЦИИ Документальное оформление перечня сведений конфиденциальногохарактера, в том числе с учетом ведомственной и отраслевой специфики этих сведенийРеализация разрешительной системы допуска исполнителей к информации и связанным с ее использованием работам, документам Ограничение доступа персонала и посторонних лиц в ЗП и помещения, гдеразмещены средства информатизации и коммуникационное оборудование, а также хранятся носители информации Разграничение доступа пользователей и обслуживающего персонала кинформационным ресурсам, программным средствам обработки (передачи) и защиты информации Регистрация действий пользователей АС и обслуживающего персонала, контроль несанкционированного доступа и действий пользователей, обслуживающего персонала и посторонних лиц«Выполнение требований законодательства оперсональных данных». 5 апреля 2012 г.
  34. 34. 34 ОСНОВНЫЕ МЕРЫ ПО ЗАЩИТЕ ИНФОРМАЦИИ Учет и надежное хранение бумажных и машинных носителей конфиденциальной информации и их обращение, исключающее хищение, подмену и уничтожение Использование сертифицированных по требованиям безопасностиинформации специальных защитных знаков, создаваемых на основе физико- химических технологий для контроля доступа к объектам защиты и для защиты документов от подделки Резервирование технических средств, дублирование массивов и носителей информации Использование сертифицированных серийно выпускаемых в защищенном исполнении технических средств обработки, передачи и хранения информации Использование технических средств, удовлетворяющих требованиям стандартов по электромагнитной совместимости«Выполнение требований законодательства оперсональных данных». 5 апреля 2012 г.
  35. 35. 35Меры и средства защиты от НСД с применением программных и программно-аппаратных средств Организационно-технические Технические меры защиты меры и средства защиты Программные Дополнительные программные Резервное копирование средства ОС средства Изолирование Средства блокирования Криптографи Средства Другие участков оперативной исследования, модификации и ческие защиты от средства памяти несанкционированного запуска средства ПМВ защиты Уничтожение остаточных данных Средства предупреждения пользователей о выполнении Контроль Абонентского Средства Средства опасных действий шифрования целостности данных контроля тестирования Программные средства целостности сетей и и программ Пакетного администрирования Специальные программ Смена паролей шифрования (разграничения Шифрования средства Средства Ограничения на полномочий, регистрации и обнаружения обнаружения паролей использование сетевых контроля) вредоносных атак сервисов, служб, сетевы Программные средства Стеганографии программ и х идентификации и ЭЦП «лечения» Межсетевые протоколов, сценариев аутентификации Средства экраны Программные средства VPN- тестирования резервного копирования технологии Утилиты для восстановления Отечественные системы CryptonSoft (для абонентского шифрования и информации ЭЦП), CryptonSign (для ЭЦП), CryptonArcMail (для защиты электронных
  36. 36. 36 Меры и средства защиты от ПМВ (вирусов) Организационно-технические меры Программно-аппаратные средства Архивирование данных и файлов Универсальные Резидентные Применение лицензионного Специализированные Нерезидентные программного обеспечения Профилактическая проверка Фаги, полифа администратором программ и ги файлов на наличие вредоносных На основе контрольного программ Ревизоры суммирования (сканеры) На основе анализа Отключение дисководов гибких сигнатур дисков, применение только По изменению зарегистрированных дискет файлов, каталогов Организация спецпроверок По изменению системных областей Программные Сообщающие о ПМВ Средства Иммунизаторы блокирования Блокирующие ПМВ Программно-аппаратные«Выполнение требований законодательства оперсональных данных». 5 апреля 2012 г.
  37. 37. 37 Меры и средства защиты информации от техногенных угроз Организационно-технические ТехническиеПри проектировании При создании При эксплуатации Привлечение Выбор места Своевременное Меры защиты от Защита информации от случайного Э/М угроз сбоя в работе разработчиков расположения техобслуживание воздействия аппаратуры необходимой ОИ квалификации Правильное Соблюдение и расположение контроль Программные Аппаратные Комплексные Ориентация на более надежную ОТСС и ВТСС требуемого режима аппаратуру и функционирования Резервное Строгое Резервирование Средства детали копирование соблюдение ОТСС и ВТСС сигнализации, п Организация редупреждения и Проектирование технологической Дублирование Резервировани резервирования оповещения избыточных дисциплины носителей е линий информационных и элементов и Проведение технических э/питания Средства и структур ресурсов Программы комплексы полного цикла Сетевые профилактиче функционального испытаний и фильтры Обеспечение ского контроля тестирования Обучение персонала полноты и обслуживания правилам качества Применение эксплуатации и Стабилитроны Программы технической лицензионного обеспечения восстановлен Автономные документации оборудования и безопасности ия источники программного информации обеспечения бесперебойног о питания«Выполнение требований законодательства оперсональных данных». 5 апреля 2012 г.
  38. 38. 38 АТТЕСТАЦИЯ ОБЪЕКТА ИНФОРМАТИЗАЦИИ ПО ТРЕБОВАНИЯМ БЕЗОПАСНОСТИ ИНФОРМАЦИИ Объекты информатизации должны быть аттестованы потребованиям безопасности информации в соответствиинормативными документами ФСТЭК (Гостехкомиссии) России итребованиями настоящего документа. Ответственность заобеспечение требований по технической защитеконфиденциальной информации возлагается на руководителейорганизаций, эксплуатирующих объекты информатизации.(СТР-К)«Выполнение требований законодательства оперсональных данных». 5 апреля 2012 г.
  39. 39. 39 АТТЕСТАЦИЯ ОБЪЕКТА ИНФОРМАТИЗАЦИИ ПО ТРЕБОВАНИЯМ БЕЗОПАСНОСТИ ИНФОРМАЦИИ Аттестация автоматизированной системы взащищенном исполнении – процесс комплексной проверкивыполнения заданных функций автоматизированной системыпо обработке защищаемой информации на соответствиетребованиям стандартов и/или нормативных документов вобласти защиты информации и оформления документов о еесоответствии выполнять функции по обработке защищаемойинформации на конкретном объекте информатизации. (ГОСТ Р51583-2000)«Выполнение требований законодательства оперсональных данных». 5 апреля 2012 г.
  40. 40. 40 АТТЕСТАЦИЯ ОБЪЕКТА ИНФОРМАТИЗАЦИИ ПО ТРЕБОВАНИЯМ БЕЗОПАСНОСТИ ИНФОРМАЦИИ Под аттестацией объекта информатизации потребованиям безопасности информации понимается комплексорганизационно-технических мероприятий, в результатекоторых посредством специального документа - «Аттестатасоответствия» подтверждается, что объект соответствуеттребованиям стандартов или иных нормативных документовпо защите информации, утвержденных ГостехкомиссиейРоссии, ФАПСИ или другими органами государственногоуправления в пределах их компетенции. (СТР-К)«Выполнение требований законодательства оперсональных данных». 5 апреля 2012 г.
  41. 41. ОРГАНЫ, УПОЛНОМОЧЕННЫЕ НА ВЕДЕНИЕ ЛИЦЕНЗИОННОЙ 41ДЕЯТЕЛЬНОСТИ В ОБЛАСТИ ЗАЩИТЫ КОНФИДЕНЦИАЛЬНОЙ ИНФОРМАЦИИ(Федеральный закон от 8.08.2001 г. № 128-ФЗ «О лицензировании отдельных видов деятельности») ФСТЭК деятельность по технической защите России конфиденциальной информации ФСБ России деятельность по разработке и (или) ФСТЭК производству средств защиты России конфиденциальной информации«Выполнение требований законодательства оперсональных данных». 5 апреля 2012 г.
  42. 42. ЛИЦЕНЗИОННЫЕ ТРЕБОВАНИЯ И УСЛОВИЯ ОСУЩЕСТВЛЕНИИ 42 ДЕЯТЕЛЬНОСТИ ПО ТЕХНИЧЕСКОЙ ЗАЩИТЕ КОНФИДЕНЦИАЛЬНОЙ ИНФОРМАЦИИ а) осуществление лицензируемой деятельности специалистами, имеющими высшее профессиональное образование по специальности "компьютерная безопасность", "комплексное обеспечение информационной безопасности автоматизированных систем" или "информационная безопасность телекоммуникационных систем", либо специалистами, прошедшими переподготовку по вопросам защиты информации б) соответствие производственных помещений, производственного, испытательного и контрольно- измерительного оборудования техническим нормам и требованиям, установленным государственными стандартами Российской Федерации, руководящими и нормативно-методическими документами, утвержденными приказами Государственной технической комиссии при Президенте Российской Федерации в) использование сертифицированных (аттестованных по требованиям безопасности информации) автоматизированных систем, обрабатывающих конфиденциальную информацию, а также средств защиты такой информации г) использование третьими лицами программ для электронно-вычислительных машин или баз данных на основании договора с их правообладателем«Выполнение требований законодательства оперсональных данных». 5 апреля 2012 г.
  43. 43. 43 Практические примеры построения систем защиты ПДн на примере предприятий различных областей деятельности Основные руководящие документы: «Положение о методах и способах защиты информации в информационных системах персональных данных» Приказ ФСТЭК № 58 от 05.02.2010 «Об утверждении Порядка проведения классификации информационных систем персональных данных» № 55/86/20 от 13.02.08«Выполнение требований законодательства оперсональных данных». 5 апреля 2012 г.
  44. 44. 44 Автоматизированное рабочее место (АРМ) без подключения к сетям международного обмена (Интернет) До«Выполнение требований законодательства оперсональных данных». 5 апреля 2012 г.
  45. 45. 45 Автоматизированное рабочее место (АРМ) без подключения к сетям международного обмена (Интернет) После СЗИ НСД* *Средства защиты информации от несанкционированного доступа«Выполнение требований законодательства оперсональных данных». 5 апреля 2012 г.
  46. 46. 46 Автоматизированное рабочее место (АРМ) с подключением к сетям международного обмена (Интернет) До«Выполнение требований законодательства оперсональных данных». 5 апреля 2012 г.
  47. 47. 47 Автоматизированное рабочее место (АРМ) с подключением к сетям международного обмена (Интернет) После МЭ* + СОА* + САЗ* СЗИ НСД* *Средства защиты информации от несанкционированного доступа *Межсетевой экран *Система обнаружения атак *Система анализа защищенности«Выполнение требований законодательства оперсональных данных». 5 апреля 2012 г.
  48. 48. 48 Локальная сеть с выделенным сервером без подключения к сетям международного обмена (Интернет) До«Выполнение требований законодательства оперсональных данных». 5 апреля 2012 г.
  49. 49. 49 Локальная сеть с выделенным сервером без подключения к сетям международного обмена (Интернет) После СЗИ НСД* СЗИ НСД* СЗИ НСД* СЗИ НСД* *Средства защиты информации от несанкционированного доступа«Выполнение требований законодательства оперсональных данных». 5 апреля 2012 г.
  50. 50. 50 Локальная сеть с выделенным сервером и подключением к сетям международного обмена (Интернет) До«Выполнение требований законодательства оперсональных данных». 5 апреля 2012 г.
  51. 51. 51 Локальная сеть с выделенным сервером и подключением к сетям международного обмена (Интернет) После МЭ* + СОА* СЗИ НСД* СЗИ НСД* СЗИ НСД* СЗИ НСД* *Средства защиты информации от несанкционированного доступа *Межсетевой экран *Система обнаружения атак«Выполнение требований законодательства оперсональных данных». 5 апреля 2012 г.
  52. 52. 52 Объединенная локальная сеть состоящая из двух сегментов с подключением к сетям международного обмена (Интернет) До«Выполнение требований законодательства оперсональных данных». 5 апреля 2012 г.
  53. 53. 53 Объединенная локальная сеть состоящая из двух сегментов с подключением к сетям международного обмена (Интернет) После СЗИ НСД* Шифрование КПД с СЗИ НСД* применением СКЗИ СЗИ НСД* СЗИ НСД* МЭ* + СОА* + САЗ* СЗИ НСД* СЗИ НСД* МЭ* + СОА* + САЗ* *Средства защиты информации от несанкционированного доступа *Межсетевой экран *Система обнаружения атак *Средства криптографической защиты информации *Система анализа защищенности«Выполнение требований законодательства оперсональных данных». 5 апреля 2012 г.
  54. 54. Ориентировочные стоимости 54 сертифицированных СЗИ Категория средств защиты информации Ориентировочная стоимость Средство защиты информации от несанкционированного доступа (СЗИ НСД) для 3000 - 20000 автономного рабочего места Средства межсетевого экранирования От 25000 Система анализа защищенности От 5000 Система обнаружения атак От 1800 (вариант для не серверных ОС Windows) Средства криптографической защиты От 20000 информации«Выполнение требований законодательства оперсональных данных». 5 апреля 2012 г.
  55. 55. 55Перечень документов, которые необходимо подготовить в случае плановой или внеплановой проверки Приказ О введении режима обработки ПДн и назначении ответственных Приказ О проведении работ по защите ПДн Концепция ИБ Политика ИБ Перечень ПДн Положение о ПДн Режимный регламент в офисных помещениях Приказ О допуске пользователей к обработке ПДн Частная модель угроз Акт классификации ИСПДн «XXX» Инструкция администратору Инструкция по антивирусной защите Инструкция пользователю Порядок резервирования и восстановления информации Приказ О введении электронного журнала Журнал паролей Журнал учета информационных массивов Перечень по учету СЗИ Приказ о вводе в действие инструкций, режимного регламента План проверок Проект системы защиты ПДн Уведомление
  56. 56. Выполнение требований законодательства о персональных данных

×