Similar presentations:
Меры по обеспечению информационной безопасности в учреждении
1. Меры по обеспечению информационной безопасности в учреждении
МЕРЫ ПО ОБЕСПЕЧЕНИЮИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
В УЧРЕЖДЕНИИ
Отдел информационной безопасности
2.
ИнформацияДеньги
Еда
3. Причины утечек информации
Не установлено12%
Преднамеренные
46%
42%
Случайные
Компания InfoWatch
4. Пути утечек информации
Бумажныйдокумент
@почта,
факс
ПК или
сервер
5%
3%
Архивный носитель
3%
2%
Другое
8%
33%
Сеть (кроме @)
Мобильные
носители
информации
Не установлено
21%
19%
6%
Ноутбуки
Компания InfoWatch
5. Распределение по типу конфиденциальности информации
Коммерческая тайна,1% ноу-хау
Государственная
1%
тайна 1%
Не установлено
Персональные
данные
97%
Компания InfoWatch
6. Организационно-правовые основы защиты персональных данных
Федеральный Закон № 152-ФЗ«О персональных данных»
27 июля 2006 г.
защита прав и свобод человека при
обработке его персональных данных
7. Что означает термин «персональные данные»?
«К конфиденциальной информации относятся: сведения о фактах,событиях и обстоятельствах частной жизни гражданина, позволяющие
идентифицировать его личность (персональные данные), за
исключением сведений, подлежащих распространению в средствах
массовой информации в установленных федеральными законами случаях»
Из «Перечня сведений конфиденциального характера»,
утвержденного указом Президента РФ № 188 от 6 марта 1997 г.
«любая информация, относящаяся к определенному или определяемому
на основании такой информации физическому лицу (субъекту
персональных данных), в том числе его фамилия, имя, отчество, год,
месяц, дата и место рождения, адрес, семейное, социальное,
имущественное положение, образование, профессия, доходы, другая
информация»
Из 152-ФЗ от 27 июля 2006 г.
8. С чего начать защиту, и нужна ли она вообще?
«Конфиденциальность персональных данных —обязательное для соблюдения оператором или иным получившим
доступ к персональным данным лицом требование не допускать их
распространение без согласия субъекта персональных данных или
наличия иного законного основания» (152-ФЗ).
9. С чего начать защиту, и нужна ли она вообще?
«Оператор — государственный орган, муниципальный орган,юридическое или физическое лицо, организующие и(или)
осуществляющие обработку персональных данных, а также
определяющие цели и содержание обработки персональных данных»
(152-ФЗ).
10. С чего начать защиту, и нужна ли она вообще?
«Информационная система персональных данных (ИСПДн) —информационная система, представляющая собой совокупность
персональных данных, содержащихся в базе данных, а также
информационных технологий и технических средств, позволяющих
осуществлять обработку таких персональных данных с
использованием средств автоматизации или без использования таких
средств» (152-ФЗ).
База данных
11. С чего начать защиту, и нужна ли она вообще?
«Обработка персональных данных — это действия (операции) сПДн, включая сбор, систематизацию, накопление, хранение, уточнение
(обновление, изменение), использование, распространение (в том числе
передачу), обезличивание, блокирование, уничтожение персональных
данных» (152-ФЗ).
12. Классификация информационной системы персональных данных
Порядок классификации определен приказом ФСТЭК России, ФСБРоссии и Мининформсвязи России № 55/86/20 от 13 февраля 2008 г.
категория обрабатываемых персональных данных;
объем обрабатываемых персональных данных;
тип информационной системы;
структура информационной системы и местоположение ее
технических средств;
режимы обработки персональных данных;
режимы разграничения прав доступа пользователей;
наличие подключений к сетям общего пользования и(или) сетям
международного информационного обмена.
13. Классификация информационной системы персональных данных
класс 1 (К1)• информационные системы, для которых
нарушение заданной характеристики
безопасности персональных данных,
обрабатываемых в них, может привести к
значительным негативным последствиям
для субъектов персональных данных
класс 2 (К2)
• (…) может привести к негативным
последствиям для субъектов ПДн
класс 3 (К3)
• (…) может привести к незначительным
негативным последствиям для субъектов
ПДн
класс 4 (К4)
• (…) не приводит к негативным
последствиям для субъектов ПДн
Приказ ФСТЭК России, ФСБ России и Мининформсвязи России № 55/86/20 от 13 февраля 2008 г.
14. Согласие субъекта ПДн на обработку
фамилию, имя, отчество, адрес субъекта персональныхданных, номер основного документа, удостоверяющего его
личность, сведения о дате выдачи указанного документа и
выдавшем его органе;
наименование (фамилию, имя, отчество) и адрес оператора,
получающего согласие субъекта персональных данных;
цель обработки персональных данных;
перечень персональных данных, на обработку которых
дается согласие субъекта персональных данных;
перечень действий с персональными данными, на
совершение которых дается согласие, общее описание
используемых оператором способов обработки
персональных данных;
срок, в течение которого действует согласие, а также
порядок его отзыва.
Статья 9 152-ФЗ
15. Общедоступные персональные данные
— «персональные данные, доступ неограниченного круга лиц ккоторым предоставлен с согласия субъекта персональных данных или
на которые в соответствии с ФЗ не распространяется требование
соблюдения конфиденциальности» (152-ФЗ).
В общедоступные источники персональных данных с письменного
согласия субъекта персональных данных могут включаться его
фамилия, имя, отчество, год и место рождения, адрес, абонентский
номер, сведения о профессии и иные персональные данные,
сообщаемые субъектом персональных данных. (в ред. Федерального
закона от 25.07.2011 N 261-ФЗ)
16. Специальные категории персональных данных
расовая принадлежностьнациональная принадлежность
политические взгляды
религиозные или философские убеждения
состояние здоровья
состояние интимной жизни
биометрические ПДн
Условия обработки:
согласие субъекта в письменной форме
ПДн являются общедоступными
Статья 10 152-ФЗ
17. Обеспечение безопасности ПДн при их обработке
«Оператор при обработке персональных данных обязан приниматьнеобходимые организационные и технические меры для защиты
персональных данных от неправомерного или случайного доступа к ним,
уничтожения, изменения, блокирования, копирования, распространения
персональных данных, а также от иных неправомерных действий»
(Статья 19, 152-ФЗ)
18. Способы обеспечения безопасности
Организационные мерыТехнические средства защиты
19. Обеспечение безопасности ПДн при их обработке
Мероприятия по защите информации трудоемки и могут привести кзначительным финансовым затратам, что обусловлено
необходимостью:
получать (по необходимости) лицензию на деятельность по
технической защите конфиденциальной информации ФСТЭК России;
привлекать лицензиата ФСТЭК России для осуществления
мероприятий по созданию системы защиты ИСПДн и/или ее
аттестации по требованиям безопасности информации;
отправлять сотрудников, ответственных за обеспечение безопасности
информации, на курсы повышения квалификации по вопросам
защиты информации и/или нанимать специалистов по защите
информации;
устанавливать сертифицированные по требованиям ФСТЭК средства
защиты информации (СрЗИ), сертифицированные ФСБ средства
криптографической защиты информации (СКЗИ) в зависимости от
класса ИСПДн.
20. Источники угроз несанкционированного доступа (НСД)
Источники угроз НСДнарушители
внешние
по наличию
прав доступа
внутренние
носитель
вредоносной
программы
аппаратная
закладка