Организационно-правовые основы технической защиты конфиденциальной информации. Лекция 2. Информация как объект защиты

1.

Организационно-правовые
основы технической защиты
конфиденциальной информации
Лекция 2. Информация как объект защиты.
Виды информации ограниченного доступа
к.ф.-м.н., доцент кафедры «Информационная
безопасность автоматизированных систем»
Хороводова Наталия Юрьевна
1

2.

Информация как объект правовых отношений.
Информационная сфера
Доктрина информационной безопасности Российской
Федерации
Информационная сфера – совокупность:
информации,
объектов информатизации,
информационных систем,
сайтов в информационно-телекоммуникационной сети
«Интернет»,
сетей связи,
информационных технологий,
субъектов, деятельность которых связана с формированием и
обработкой информации, развитием и использованием
названных технологий, обеспечением информационной
безопасности,
механизмов регулирования соответствующих общественных
отношений.
2

3.

Вводные положения
"Конституция
Российской
Федерации"
(принята
всенародным
голосованием
12.12.1993 с изменениями, одобренными в
ходе
общероссийского
голосования
01.07.2020)
Статья 29
4. Каждый имеет право свободно искать,
получать, передавать, производить и
распространять
информацию
любым
законным способом. Перечень сведений,
составляющих
государственную
тайну,
определяется федеральным законом.
3

4.

Виды информации по законодательству
Российской Федерации
Федеральный закон "Об информации, информационных
технологиях и о защите информации" от 27.07.2006 N 149-ФЗ
регулирует отношения, возникающие при:
1) осуществлении права на поиск, получение, передачу,
производство и распространение информации;
2) применении информационных технологий;
3) обеспечении защиты информации
вводит
понятие информации как объекта правовых
отношений;
Устанавливает разделение информации в зависимости от
категории доступа к ней и в зависимости от порядка ее
предоставления или распространения
4

5.

Информация в
зависимости от категории
доступа к ней
общедоступная
информация
информация
ограниченного доступа
информация, доступ к
которой ограничен
федеральными законами
Информация в зависимости от
порядка ее предоставления или
распространения
информация, свободно
распространяемая
информация,
предоставляемая по
соглашению лиц,
участвующих в
соответствующих
отношениях
информация, которая в
соответствии с
федеральными законами
подлежит предоставлению
или распространению
информация,
распространение которой в
Российской Федерации
ограничивается или
запрещается
5

6.

Общедоступная информация
149-ФЗ
Статья 7.
1.
К
общедоступной
информации
относятся
общеизвестные сведения и иная информация, доступ к
которой не ограничен.
2. Общедоступная информация может использоваться
любыми лицами по их усмотрению при соблюдении
установленных федеральными законами ограничений в
отношении распространения такой информации.
3. Обладатель информации, ставшей общедоступной по
его
решению,
вправе
требовать
от
лиц,
распространяющих такую информацию, указывать себя
в качестве источника такой информации.
4.-6.
–
устанавливают
вопросы
размещения
общедоступной информации в сети Интернет
6

7.

Информация ограниченного
доступа
Статья 9. Ограничение доступа к информации
1. Ограничение доступа к информации устанавливается
федеральными законами в целях защиты основ конституционного
строя, нравственности, здоровья, прав и законных интересов других
лиц, обеспечения обороны страны и безопасности государства.
2. Обязательным является соблюдение конфиденциальности
информации, доступ к которой ограничен федеральными законами.
3.-9. относят к информации ограниченного доступа:
• государственную тайну;
• информацию, составляющую коммерческую тайну;
• информацию, составляющую служебную тайну;
• персональные данные;
• профессиональную тайну.
7

8.

Перечень сведений конфиденциального
характера
Указ Президента РФ от 06.03.1997 N 188 (ред. от 13.07.2015) «Об утверждении
Перечня сведений конфиденциального характера»
1. Сведения о фактах, событиях и обстоятельствах частной жизни гражданина,
позволяющие идентифицировать его личность (персональные данные)
2. Сведения, составляющие тайну следствия и судопроизводства,…
3. Служебные сведения, доступ к которым ограничен органами государственной
власти в соответствии с Гражданским кодексом Российской Федерации и
федеральными законами (служебная тайна).
4. Сведения, связанные с профессиональной деятельностью, доступ к которым
ограничен в соответствии с Конституцией Российской Федерации и федеральными
законами (врачебная, нотариальная, адвокатская тайна, тайна переписки,
телефонных переговоров, почтовых отправлений, телеграфных или иных
сообщений и так далее).
5. Сведения, связанные с коммерческой деятельностью, доступ к которым
ограничен в соответствии с Гражданским кодексом Российской Федерации и
федеральными законами (коммерческая тайна).
6. Сведения о сущности изобретения, полезной модели или промышленного
образца до официальной публикации информации о них.
7. Сведения, содержащиеся в личных делах осужденных,…
8

9.

Организационно-правовые основы
технической защиты персональных
данных при их обработке в
информационных системах
персональных данных
9

10.

Законодательство РФ в области
персональных данных
Законодательство Российской Федерации в области персональных данных основывается на Конституции Российской Федерации и международных
договорах Российской Федерации и состоит из настоящего Федерального закона и других определяющих случаи и особенности обработки персональных
данных федеральных законов.
Федеральные законы
Федеральный закон от 27 июля 2006 № 152-ФЗ «О персональных данных».
Трудовой кодекс Российской Федерации от 30 декабря 2001 г. № 197-ФЗ.
Федеральный закон от 27 июля 2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации». …
Указы Президента РФ
Указ Президента РФ от 5 декабря 2016 г. № 646 «Доктрина информационной безопасности Российской Федерации».
Указ Президента РФ от 06.03.1997 № 188 «Об утверждении Перечня сведений конфиденциального характера».
Указ Президента Российской Федерации от 30 мая 2005 года № 609 «Об утверждении Положения о персональных данных государственного гражданского
служащего Российской Федерации и ведении его личного дела».
Постановления Правительства РФ
Постановление Правительства РФ от 1 ноября 2012 г. № 1119 «Об утверждении требований к защите персональных данных при их обработке в
информационных системах персональных данных».
Постановление
Правительства
Российской
Федерации
от
21
марта
2012
г.
№
211
«Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных
данных».
Постановление
Правительства
Российской
Федерации
от
15
сентября
2008
г.
№
«Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации».
Постановление
Правительства
Российской
Федерации
от
6
«Об
утверждении
требований
к
материальным
носителям
и технологиям хранения таких данных вне информационных систем персональных данных».
июля
2008
биометрических
г.
№
персональных
687
512
данных
НПА Федеральных органов исполнительной власти
Приказ ФСБ России и ФСТЭК России от 31.08.2010 № 416/489 «Об утверждении требований о защите информации, содержащейся в информационных
системах общего пользования»
Приказ ФСТЭК России от 18.02.2013 № 21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности
персональных
данных
при их обработке в информационных системах персональных данных».
Приказ ФСТЭК России от 11 февраля 2013 г. № 17 «Об утверждении требований о защите информации, не составляющей государственную тайну,
содержащейся в государственных информационных системах».
Акты Роскомнадзора
Методические рекомендации, информационные сообщения и т.д.
ГОСТы
10

11.

Федеральный закон "О персональных
данных" от 27.07.2006 N 152-ФЗ
Персональные данные - любая информация, относящаяся к прямо или
косвенно определенному или определяемому физическому лицу (субъекту
персональных данных)
Специальная категория персональных данных: персональные данные,
касающиеся расовой, национальной принадлежности, политических
взглядов, религиозных или философских убеждений, состояния здоровья,
интимной жизни
Биометрические персональные данные – сведения, которые характеризуют
физиологические и биологические особенности человека, на основании
которых можно установить его личность и которые используются оператором
для установления личности субъекта персональных данных
Статья 8. Общедоступные источники персональных данных
1. В целях информационного обеспечения могут создаваться общедоступные
источники персональных данных (в том числе справочники, адресные книги).
В общедоступные источники персональных данных с письменного согласия
субъекта персональных данных могут включаться его фамилия, имя, отчество,
год и место рождения, адрес, абонентский номер, сведения о профессии и
иные персональные данные, сообщаемые субъектом персональных данных.
11

12.

обработка персональных данных - любое действие (операция) или
совокупность действий (операций), совершаемых с использованием средств
автоматизации или без использования таких средств с персональными
данными(*), включая сбор, запись, систематизацию, накопление, хранение,
уточнение (обновление, изменение), извлечение, использование, передачу
(распространение, предоставление, доступ), обезличивание, блокирование,
удаление, уничтожение персональных данных
оператор - государственный орган, муниципальный орган, юридическое или
физическое лицо, самостоятельно или совместно с другими лицами
организующие и (или) осуществляющие обработку персональных данных, а
также определяющие цели обработки персональных данных, состав
персональных данных, подлежащих обработке, действия (операции),
совершаемые с персональными данными
информационная система персональных данных - совокупность
содержащихся в базах данных персональных данных и обеспечивающих их
обработку информационных технологий и технических средств
(*) Постановление Правительства Российской Федерации от 15 сентября 2008 г. № 687
«Об утверждении Положения об особенностях обработки персональных данных,
осуществляемой без использования средств автоматизации»
12

13.

Принципы обработки
персональных данных
1. Обработка персональных данных должна осуществляться на законной и справедливой
основе.
2. Обработка персональных данных должна ограничиваться достижением конкретных,
заранее определенных и законных целей. Не допускается обработка персональных
данных, несовместимая с целями сбора персональных данных.
3. Не допускается объединение баз данных, содержащих персональные данные,
обработка которых осуществляется в целях, несовместимых между собой.
4. Обработке подлежат только персональные данные, которые отвечают целям их
обработки.
5. Содержание и объем обрабатываемых персональных данных должны соответствовать
заявленным целям обработки. Обрабатываемые персональные данные не должны быть
избыточными по отношению к заявленным целям их обработки.
6. При обработке персональных данных должны быть обеспечены точность
персональных данных, их достаточность, а в необходимых случаях и актуальность по
отношению к целям обработки персональных данных. Оператор должен принимать
необходимые меры либо обеспечивать их принятие по удалению или уточнению
неполных или неточных данных.
7. Хранение персональных данных должно осуществляться в форме, позволяющей
определить субъекта персональных данных, не дольше, чем этого требуют цели
обработки персональных данных, если срок хранения персональных данных не
установлен федеральным законом, договором, стороной которого,
выгодоприобретателем или поручителем по которому является субъект персональных
данных. Обрабатываемые персональные данные подлежат уничтожению либо
обезличиванию по достижении целей обработки или в случае утраты необходимости в
13
достижении этих целей, если иное не предусмотрено федеральным законом.

14.

Меры, направленные на обеспечение выполнения
оператором обязанностей, предусмотренных
настоящим Федеральным законом (статья 18.1)
1. Оператор обязан принимать меры,
необходимые и достаточные для обеспечения
выполнения обязанностей, предусмотренных
настоящим Федеральным законом и принятыми в
соответствии с ним нормативными правовыми
актами. Оператор самостоятельно определяет
состав и перечень мер, необходимых и
достаточных для обеспечения выполнения
обязанностей, предусмотренных настоящим
Федеральным законом и принятыми в
соответствии с ним нормативными правовыми
актами, если иное не предусмотрено настоящим
Федеральным законом или другими
федеральными законами.
К таким мерам, в частности, относятся:
14

15.

Меры, направленные на обеспечение выполнения
оператором обязанностей, предусмотренных
настоящим Федеральным законом (статья 18.1) (*)
1) назначение оператором, являющимся юридическим лицом, ответственного
за организацию обработки персональных данных;
2) издание оператором, являющимся юридическим лицом, документов,
определяющих политику оператора в отношении обработки персональных
данных, локальных актов по вопросам обработки персональных данных,
определяющих для каждой цели обработки персональных данных категории
и перечень обрабатываемых персональных данных, категории субъектов,
персональные данные которых обрабатываются, способы, сроки их обработки
и хранения, порядок уничтожения персональных данных при достижении
целей их обработки или при наступлении иных законных оснований, а также
локальных актов, устанавливающих процедуры, направленные на
предотвращение и выявление нарушений законодательства Российской
Федерации, устранение последствий таких нарушений.
3) применение правовых, организационных и технических мер по
обеспечению безопасности персональных данных в соответствии со статьей
19 настоящего Федерального закона;
(*) Постановление Правительства РФ от 21.03.2012 N 211 (ред. от 15.04.2019) "Об утверждении перечня
мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом
"О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами,
операторами, являющимися государственными или муниципальными органами"
15

16.

Меры, направленные на обеспечение выполнения
оператором обязанностей, предусмотренных
настоящим Федеральным законом (статья 18.1)
4) осуществление внутреннего контроля и (или) аудита соответствия обработки
персональных данных настоящему Федеральному закону и принятым в
соответствии с ним нормативным правовым актам, требованиям к защите
персональных данных, политике оператора в отношении обработки персональных
данных, локальным актам оператора;
5) оценка вреда в соответствии с требованиями, установленными уполномоченным
органом по защите прав субъектов персональных данных, который может быть
причинен субъектам персональных данных в случае нарушения настоящего
Федерального закона, соотношение указанного вреда и принимаемых оператором
мер, направленных на обеспечение выполнения обязанностей, предусмотренных
настоящим Федеральным законом;
Приказ Роскомнадзора от 27.10.2022 № 178 «Об утверждении Требований
к оценке вреда, который может быть причинен субъектам персональных данных
в случае нарушения Федерального закона «О персональных данных».
6) ознакомление работников оператора, непосредственно осуществляющих
обработку персональных данных, с положениями законодательства Российской
Федерации о персональных данных, в том числе требованиями к защите
персональных данных, документами, определяющими политику оператора в
отношении обработки персональных данных, локальными актами по вопросам
обработки персональных данных, и (или) обучение указанных работников.
16

17.

Оценка вреда, который может быть причинен субъектам
персональных данных в случае нарушения Федерального
закона «О персональных данных»
Определяется степень вреда:
Высокая в случаях:
обработки сведений, которые характеризуют физиологические и биологические особенности
человека, на основании которых можно установить его личность (биометрические
персональные данные) и которые используются оператором для установления личности
субъекта персональных данных, за исключением случаев, установленных федеральными
законами, предусматривающими цели, порядок и условия обработки биометрических
персональных данных;
обработки специальных категорий персональных данных, касающихся расовой, национальной
принадлежности, политических взглядов, религиозных или философских убеждений, состояния
здоровья, интимной жизни, сведений о судимости, за исключением случаев, установленных
федеральными законами, предусматривающими цели, порядок и условия обработки
специальных категорий персональных данных;
обработки персональных данных несовершеннолетних для исполнения договора, стороной
которого либо выгодоприобретателем или поручителем по которому является
несовершеннолетний, а также для заключения договора по инициативе несовершеннолетнего
или договора, по которому несовершеннолетний будет являться выгодоприобретателем или
поручителем в случаях, не предусмотренных законодательством Российской Федерации ;
обезличивания персональных данных, в том числе с целью проведения оценочных
(скоринговых) исследований, оказания услуг по прогнозированию поведения потребителей
товаров и услуг, а также иных исследований, не предусмотренных пунктом 9 части 1 статьи 6
Закона о персональных данных;
поручения иностранному лицу (иностранным лицам) осуществлять обработку персональных
данных граждан Российской Федерации;
сбора персональных данных с использованием баз данных, находящихся за пределами
Российской Федерации.
17

18.

Среднюю в случаях:
распространения персональных данных на официальном сайте в информационнотелекоммуникационной сети "Интернет" оператора, а равно предоставление персональных
данных неограниченному кругу лиц, за исключением случаев, установленных федеральными
законами, предусматривающими цели, порядок и условия такой обработки персональных
данных;
обработки персональных данных в дополнительных целях, отличных от первоначальной цели
сбора;
продвижения товаров, работ, услуг на рынке путем осуществления прямых контактов с
потенциальным потребителем с использованием баз персональных данных, владельцем
которых является иной оператор;
получения согласия на обработку персональных данных посредством реализации на
официальном сайте в информационно-телекоммуникационной сети "Интернет" функционала,
не предполагающего дальнейшую идентификацию и (или) аутентификацию субъекта
персональных данных;
осуществления деятельности по обработке персональных данных, предполагающей получение
согласия на обработку персональных данных, содержащего положения о предоставлении права
осуществлять обработку персональных данных определенному и (или) неопределенному кругу
лиц в целях, несовместимых между собой.
Низкую в случаях:
ведения общедоступных источников персональных данных, сформированных в соответствии со
статьей 8 Закона о персональных данных ;
назначения в качестве ответственного за обработку персональных данных лица, не
являющегося штатным сотрудником оператора.
18

19.

Меры по обеспечению безопасности
персональных данных при их обработке
(статья 19)
1. Оператор при обработке персональных данных обязан принимать необходимые правовые,
организационные и технические меры или обеспечивать их принятие для защиты персональных
данных от неправомерного или случайного доступа к ним, уничтожения, изменения,
блокирования, копирования, предоставления, распространения персональных данных, а также
от иных неправомерных действий в отношении персональных данных.
2. Обеспечение безопасности персональных данных достигается, в частности:
1) определением угроз безопасности персональных данных при их обработке в
информационных системах персональных данных;
"Базовая модель угроз безопасности персональных данных при их обработке в
информационных системах персональных данных" (Выписка) (утв. ФСТЭК РФ 15.02.2008) +
https://bdu.fstec.ru/threat + "Методический документ. Методика оценки угроз безопасности
информации" (утв. ФСТЭК России 05.02.2021)
2) применением организационных и технических мер по обеспечению безопасности
персональных данных при их обработке в информационных системах персональных данных,
необходимых для выполнения требований к защите персональных данных, исполнение которых
обеспечивает установленные Правительством Российской Федерации уровни защищенности
персональных данных;
Постановление Правительства РФ от 01.11.2012 N 1119 «Об утверждении требований к
защите персональных данных при их обработке в информационных системах персональных
данных»
Приказ ФСТЭК России от 18.02.2013 N 21 «Об утверждении Состава и содержания
организационных и технических мер по обеспечению безопасности персональных данных
при их обработке в информационных системах персональных данных»
19

20.

Меры по обеспечению безопасности
персональных данных при их обработке
(статья 19)
3) применением прошедших в установленном порядке процедуру оценки
соответствия средств защиты информации;
4) оценкой эффективности принимаемых мер по обеспечению безопасности
персональных данных до ввода в эксплуатацию информационной системы
персональных данных;
5) учетом машинных носителей персональных данных;
6) обнаружением фактов несанкционированного доступа к персональным
данным и принятием мер, в том числе мер по обнаружению, предупреждению
и ликвидации последствий компьютерных атак на информационные системы
персональных данных и по реагированию на компьютерные инциденты в них;
Приказ Роскомнадзора от 14.11.2022 № 187 «Об утверждении Порядка и условий
взаимодействия Федеральной службы по надзору в сфере связи, информационных
технологий и массовых коммуникаций с операторами в рамках ведения реестра учета
инцидентов в области персональных данных»
Приказ ФСБ России от 13.02.2023 № 77 «Об утверждении порядка взаимодействия
операторов с государственной системой обнаружения, предупреждения и ликвидации
последствий компьютерных атак на информационные ресурсы Российской Федерации,
включая информирование ФСБ России о компьютерных инцидентах, повлекших
неправомерную передачу (предоставление, распространение, доступ) персональных
данных»
20

21.

Уведомление о факте неправомерной или
случайной передачи
21

22.

Меры по обеспечению безопасности
персональных данных при их обработке
(статья 19)
7) восстановлением персональных данных,
модифицированных или уничтоженных
вследствие несанкционированного доступа к
ним;
8) установлением правил доступа к персональным
данным, обрабатываемым в информационной
системе персональных данных, а также
обеспечением регистрации и учета всех
действий, совершаемых с персональными
данными в информационной системе
персональных данных;
9) контролем за принимаемыми мерами по
обеспечению безопасности персональных данных
и уровня защищенности информационных систем
персональных данных.
22

23.

Постановление Правительства РФ от 01.11.2012 N 1119 "Об
утверждении требований к защите персональных данных при
их обработке в информационных системах персональных
данных"
Уровень защищенности персональных данных –
комплексный
показатель,
характеризующий
требования, исполнение которых обеспечивает
нейтрализацию
определенных
угроз
безопасности персональных данных при их
обработке
в
информационных
системах
персональных данных:
тип актуальных угроз;
тип информационной системы персональных данных
(категория обрабатываемых персональных данных);
тип информационной системы персональных данных
(категория субъектов персональных данных);
количество обрабатываемых персональных данных
23

24.

Постановление Правительства РФ от 01.11.2012 N 1119 "Об
утверждении требований к защите персональных данных при их
обработке в информационных системах персональных данных"
Типы актуальных угроз
Угрозы 1-го типа актуальны для информационной системы, если для нее в том числе актуальны
угрозы, связанные с наличием недокументированных (недекларированных) возможностей в
системном программном обеспечении, используемом в информационной системе.
Угрозы 2-го типа актуальны для информационной системы, если для нее в том числе актуальны
угрозы, связанные с наличием недокументированных (недекларированных) возможностей в
прикладном программном обеспечении, используемом в информационной системе.
Угрозы 3-го типа актуальны для информационной системы, если для нее актуальны угрозы, не
связанные с наличием недокументированных (недекларированных) возможностей в системном
и прикладном программном обеспечении, используемом в информационной системе.
Типы информационных систем в зависимости от категории ПД
обрабатываются специальные категории персональных данных
обрабатываются биометрические персональные данные;
обрабатываются персональные данные субъектов персональных данных, полученные только из
общедоступных источников персональных данных;
обрабатываются иные персональные данные
Типы информационных систем в зависимости от категории субъектов ПД
Информационная система является информационной системой, обрабатывающей
персональные данные сотрудников оператора, если в ней обрабатываются персональные
данные только указанных сотрудников.
В остальных случаях информационная система персональных данных является
информационной системой, обрабатывающей персональные данные субъектов персональных
данных, не являющихся сотрудниками оператора.
24

25.

Пример
В частной поликлинике ведется
обработка персональных данных
пациентов. Обрабатывается менее
20000 записей о субъектах ПДн.
Выполнить классификацию ИСПДн пациентов
поликлиники при условии, что актуальны НДВ в
прикладном программном обеспечении. В
системном программном обеспечении угрозы
не актуальны
25

26.

Категория
данных
персональных специальные (например, состояние здоровья)
иные (например, паспортные данные, место жительства, данные
страховых медицинских полисов и пр.);
Категория
субъектов пациенты (не являются сотрудниками оператора)
персональных данных
Количество
субъектов 20 000 (<100 000)
персональных данных
Тип актуальных угроз
угрозы 2-го типа, так как для информационной системы, в том
числе,
актуальны
угрозы,
связанные
с
наличием
недокументированных (недекларированных) возможностей в
прикладном программном обеспечении, используемом в
информационной системе
Уровень
защищенности 2
персональных данных
9. Необходимость обеспечения 1-го уровня защищенности персональных данных при их обработке в
информационной системе устанавливается при наличии хотя бы одного из следующих условий:
б) для информационной системы актуальны угрозы 2-го типа и информационная система обрабатывает
специальные категории персональных данных более чем 100000 субъектов персональных данных, не
являющихся сотрудниками оператора.
10. Необходимость обеспечения 2-го уровня защищенности персональных данных при их обработке в
информационной системе устанавливается при наличии хотя бы одного из следующих условий:
б) для информационной системы актуальны угрозы 2-го типа и информационная система обрабатывает
специальные категории персональных данных сотрудников оператора или специальные категории
персональных данных менее чем 100000 субъектов персональных данных, не являющихся сотрудниками
оператора;
в) для информационной системы актуальны угрозы 2-го типа и информационная система обрабатывает
биометрические персональные данные;
г) для информационной системы актуальны угрозы 2-го типа и информационная система обрабатывает
общедоступные персональные данные более чем 100000 субъектов персональных данных, не являющихся
сотрудниками оператора;
26

27.

Формирование требований к защите персональных
данных при их обработке в информационных
системах персональных данных
Для рассматриваемого выше примера можно сформировать следующий
набор требований:
организация режима обеспечения безопасности помещений, в которых размещена
информационная система, препятствующего возможности неконтролируемого
проникновения или пребывания в этих помещениях лиц, не имеющих права
доступа в эти помещения;
обеспечение сохранности носителей персональных данных;
утверждение руководителем оператора документа, определяющего перечень лиц,
доступ которых к персональным данным, обрабатываемым в информационной
системе, необходим для выполнения ими служебных (трудовых) обязанностей;
использование средств защиты информации, прошедших процедуру оценки
соответствия требованиям законодательства Российской Федерации в области
обеспечения безопасности информации, в случае, когда применение таких средств
необходимо для нейтрализации актуальных угроз;
назначение должностного лица (работника), ответственного за обеспечение
безопасности персональных данных в информационной системе;
организация режима, при котором доступ к содержанию электронного журнала
сообщений был возможен исключительно для должностных лиц (работников)
оператора или уполномоченного лица, которым сведения, содержащиеся в
указанном журнале, необходимы для выполнения служебных (трудовых)
обязанностей.
27

28.

Формирование состава и содержания организационных и
технических мер по обеспечению безопасности персональных
данных при их обработке в информационных системах
персональных данных
Приказ ФСТЭК России от 18.02.2013 N 21 «Об утверждении Состава и содержания
организационных и технических мер по обеспечению безопасности персональных данных
при их обработке в информационных системах персональных данных»
устанавливает состав и содержание организационных и технических мер по обеспечению
безопасности персональных данных для каждого из уровней защищенности персональных
данных
В состав мер по обеспечению безопасности персональных данных, реализуемых в
рамках системы защиты персональных данных с учетом актуальных угроз безопасности
персональных данных и применяемых информационных технологий, входят:
идентификация и аутентификация субъектов доступа и объектов доступа;
управление доступом субъектов доступа к объектам доступа;
ограничение программной среды;
защита машинных носителей информации, на которых хранятся и (или) обрабатываются
персональные данные (далее - машинные носители персональных данных);
регистрация событий безопасности;
антивирусная защита;
обнаружение (предотвращение) вторжений;
контроль (анализ) защищенности персональных данных;
обеспечение целостности информационной системы и персональных данных;
обеспечение доступности персональных данных;
защита среды виртуализации;
защита технических средств;
защита информационной системы, ее средств, систем связи и передачи данных;
выявление инцидентов (одного события или группы событий), которые могут привести к сбоям
или нарушению функционирования информационной системы и (или) к возникновению угроз
безопасности персональных данных (далее - инциденты), и реагирование на них;
управление конфигурацией информационной системы и системы защиты персональных
данных.
28

29.

Формирование состава и содержания организационных и
технических мер по обеспечению безопасности персональных
данных при их обработке в информационных системах
персональных данных
определение базового набора мер по
обеспечению безопасности персональных
данных для установленного уровня
защищенности персональных данных
адаптация базового набора мер по
обеспечению безопасности персональных
данных
уточнение адаптированного базового набора
мер по обеспечению безопасности
персональных данных
дополнение уточненного адаптированного
базового набора мер по обеспечению
безопасности персональных данных
29

30.

Выбор мер по обеспечению безопасности персональных данных, подлежащих реализации в
информационной системе в рамках системы защиты персональных данных, включает:
определение базового набора мер по обеспечению безопасности персональных данных для
установленного уровня защищенности персональных данных в соответствии с базовыми
наборами мер по обеспечению безопасности персональных данных, приведенными в
приложении к настоящему документу
30

31.

Адаптация базового набора мер по обеспечению безопасности персональных данных с учетом
структурно-функциональных характеристик информационной системы, информационных
технологий, особенностей функционирования информационной системы (в том числе
исключение из базового набора мер, непосредственно связанных с информационными
технологиями, не используемыми в информационной системе, или структурно-функциональными
характеристиками, не свойственными информационной системе)
Номер
меры
УПД.5
УПД.6
УПД.10
УПД.11
УПД.13
Содержание мер по обеспечению безопасности
персональных данных
Назначение минимально необходимых прав и привилегий
пользователям, администраторам и лицам, обеспечивающим
функционирование информационной системы
Ограничение неуспешных попыток входа в информационную
систему (доступа к информационной системе)
Блокирование сеанса доступа в информационную систему
после установленного времени бездействия (неактивности)
пользователя или по его запросу
Разрешение (запрет) действий пользователей, разрешенных до
идентификации и аутентификации
Реализация защищенного удаленного доступа субъектов
доступа к объектам доступа через внешние информационнотелекоммуникационные сети
Базовый
набор мер
Адаптированны
й базовый
набор мер
+
+
+
+
+
+
+
+
+
+
УПД.14
Регламентация и контроль использования в информационной
системе технологий беспроводного доступа
+
УПД.15
Регламентация и контроль использования в информационной
системе мобильных технических средств
+
УПД.16
УПД.17
Управление взаимодействием с информационными системами
сторонних организаций (внешние информационные системы)
Обеспечение доверенной загрузки средств вычислительной
техники
- (технологий
беспроводного
доступа не
предусмотрено)
- (мобильных
технических
средств не
предусмотрено)
+
+
+
+
31

32.

Уточнение адаптированного базового набора мер по обеспечению безопасности
персональных данных с учетом не выбранных ранее мер, приведенных в приложении к
настоящему документу, в результате чего определяются меры по обеспечению безопасности
персональных данных, направленные на нейтрализацию всех актуальных угроз безопасности
персональных данных для конкретной информационной системы
Пример: Модель угроз содержит
УБИ.143 Угроза программного выведения из строя средств хранения, обработки и (или)
ввода/вывода/передачи информации
УБИ.157 Угроза физического выведения из строя средств хранения, обработки и (или)
ввода/вывода/передачи информации.
Для 4-го уровня защищенности персональных данных не включались
меры защиты машинных носителей персональных данных
В связи с этим целесообразно добавить к адаптированному базовому
набору мер:
ЗНИ.2 Управление доступом к машинным носителям персональных
данных,
ЗНИ.5 Контроль использования интерфейсов ввода (вывода)
информации на машинные носители персональных данных,
ЗНИ.6 Контроль ввода (вывода) информации на машинные носители
персональных данных.
32

33.

Отдельные вопросы формирования
требований к защите персональных данных
ИСПДн – государственная информационная система
Приказ ФСТЭК России от 11.02.2013 N 17 «Об утверждении
Требований о
защите информации, не составляющей
государственную тайну,
содержащейся в государственных
информационных системах»
+
Постановление Правительства РФ от
01.11.2012 N 1119 "Об
утверждении
требований к
защите
персональных
данных при их обработке в
информационных
системах
персональных данных"
ИСПДн – объект КИИ
Приказ ФСТЭК России от 25.12.2017 N 239 (ред. от 20.02.2020) "Об
утверждении
Требований по обеспечению безопасности значимых
объектов
критической
информационной инфраструктуры
Российской Федерации"
+
Постановление Правительства РФ от
01.11.2012 N 1119 "Об
утверждении
требований к
защите
персональных
данных при их обработке в
информационных
системах
персональных данных"
33

34.

Cлужебная тайна
Указ Президента РФ от 06.03.1997 N 188 (ред. от 13.07.2015) «Об
утверждении Перечня сведений конфиденциального характера»
Служебные сведения, доступ к которым ограничен
органами государственной власти в соответствии с
Гражданским кодексом Российской Федерации и
федеральными законами (служебная тайна)
34

35.

Постановление Правительства РФ от 3 ноября 1994 г. N 1233
"Об утверждении Положения о порядке обращения со служебной
информацией ограниченного распространения в федеральных
органах исполнительной власти, уполномоченном органе
управления использованием атомной энергии и уполномоченном
органе по космической деятельности“https://base.garant.ru/188429/
К служебной информации ограниченного распространения
относится несекретная информация, касающаяся деятельности
организаций, ограничения на распространение которой диктуются
служебной необходимостью, а также поступившая в организации
несекретная информация, доступ к которой ограничен в
соответствии с федеральными законами.
На документах (в необходимых случаях и на их проектах),
содержащих служебную информацию ограниченного
распространения, проставляется пометка "Для служебного
пользования".
35

36.

Федеральный закон от 27.07.2004 №
79-ФЗ «О государственной
гражданской службе Российской
Федерации»
(ст.ст.17, 18, 24, 37 - служебная
информация);
Федеральный закон от 02.03.2007 №
25-ФЗ «О муниципальной службе в
Российской Федерации»
(ст.ст.12, 14 - служебная информация)
36

37.

Коммерческая тайна
Указ Президента РФ от 06.03.1997 N 188 (ред.
от 13.07.2015) «Об утверждении Перечня
сведений конфиденциального характера»
Сведения, связанные с коммерческой
деятельностью, доступ к которым ограничен в
соответствии с
Гражданским кодексом Российской Федерации
и федеральными законами (коммерческая
тайна).
37

38.

"Гражданский кодекс Российской Федерации (часть
четвертая)" от 18.12.2006 N 230-ФЗ (ред. от 13.06.2023)
(с изм. и доп., вступ. в силу с 29.06.2023)
1. Секретом производства (ноу-хау) признаются
сведения любого характера (производственные,
технические, экономические, организационные и
другие) о результатах интеллектуальной деятельности в
научно-технической сфере и о способах осуществления
профессиональной деятельности, имеющие
действительную или потенциальную коммерческую
ценность вследствие неизвестности их третьим лицам,
если к таким сведениям у третьих лиц нет свободного
доступа на законном основании и обладатель таких
сведений принимает разумные меры для соблюдения их
конфиденциальности, в том числе путем введения
режима коммерческой тайны.
38

39.

Федеральный закон "О коммерческой тайне" от
29.07.2004 N 98-ФЗ (последняя редакция)
коммерческая тайна - режим конфиденциальности
информации, позволяющий ее обладателю при существующих
или возможных обстоятельствах увеличить доходы, избежать
неоправданных расходов, сохранить положение на рынке
товаров, работ, услуг или получить иную коммерческую
выгоду;
информация, составляющая коммерческую тайну, - сведения
любого характера (производственные, технические,
экономические, организационные и другие), в том числе о
результатах интеллектуальной деятельности в научнотехнической сфере, а также сведения о способах
осуществления профессиональной деятельности, которые
имеют действительную или потенциальную коммерческую
ценность в силу неизвестности их третьим лицам, к которым у
третьих лиц нет свободного доступа на законном основании и
в отношении которых обладателем таких сведений введен
режим коммерческой тайны;
39

40.

Статья 10. Охрана конфиденциальности информации
1. Меры по охране конфиденциальности информации, принимаемые ее обладателем, должны
включать в себя:
1) определение перечня информации, составляющей коммерческую тайну;
2) ограничение доступа к информации, составляющей коммерческую тайну, путем установления
порядка обращения с этой информацией и контроля за соблюдением такого порядка;
3) учет лиц, получивших доступ к информации, составляющей коммерческую тайну, и (или) лиц,
которым такая информация была предоставлена или передана;
4) регулирование отношений по использованию информации, составляющей коммерческую тайну,
работниками на основании трудовых договоров и контрагентами на основании гражданскоправовых договоров;
5) нанесение на материальные носители, содержащие информацию, составляющую коммерческую
тайну, или включение в состав реквизитов документов, содержащих такую информацию, грифа
"Коммерческая тайна" с указанием обладателя такой информации (для юридических лиц полное наименование и место нахождения, для индивидуальных предпринимателей - фамилия,
имя, отчество гражданина, являющегося индивидуальным предпринимателем, и место
жительства).
2. Режим коммерческой тайны считается установленным после принятия обладателем информации,
составляющей коммерческую тайну, мер, указанных в части 1 настоящей статьи.
4. Наряду с мерами, указанными в части 1 настоящей статьи, обладатель информации,
составляющей коммерческую тайну, вправе применять при необходимости средства и методы
технической защиты конфиденциальности этой информации, другие не противоречащие
законодательству Российской Федерации меры.
40

41.

Спасибо за внимание!
41