5.72M
Category: lawlaw

НПА о ПДн (4)

1.

Тема 1.3
Правовое, нормативное и
методическое регулирование
деятельности в области защиты
информации.
Климченков Олег
Иванович

2.

Защита персональных
данных

3.

Международное право в области защиты
персональных данных
Формирование концепции персональных данных
США, конец XIX века
Категория privacy
«право быть оставленным в покое»
в 60-х годах XX века становится одной из поправок к Конституции США
Всеобщая декларация прав человека (1948 год), статья 12

4.

Международное право в области защиты
персональных данных
Организация экономического сотрудничества и
развития (ОЭСР)
1980
год
директива
«Основные
неприкосновенности частной жизни».
положения
о
защите
Цель - унификация законов стран-членов ОЭСР и избежание блокировки
международных обменов ПДн.
1985 год - Декларация о трансграничных потоках данных
1998год - Декларация об охране неприкосновенности личной жизни в
глобальных сетях.
Цель - создание единых подходов к проблеме трансграничной передачи
ПДн и охрана личных данных в глобальной сети

5.

Международное право в области защиты
персональных данных
Европейский союз
Где закреплено право на защиту персональных данных:
– статья 8 Хартии основных прав ЕС
– статья 16 Договора о функционировании ЕС
Отдельные нормативные акты по защите ПДн:
1979 год - резолюция Европарламента «О защите прав личности в связи с
прогрессом информатизации»
Особенности: определяет основные идеологические направления
регулирования права о защите ПДн, рекомендации о разработке НПА по
защите данных о личности

6.

Международное право в области защиты
персональных данных
Европейский союз
1981 год - Конвенция Совета Европы о защите физических лиц при
автоматизированной обработке ПДн (Конвенция 108).
Особенности: 28 января - международный день защиты ПДн (с 2006
года), объект защиты - право граждан на защиту ПДн.
1985 год - директива о защите физических лиц в вопросах, касающихся
автоматической обработки личных данных.
Особенности: дополняет Конвенцию 1981 года, освещает вопросы сбора
ПДн, вводит принципы обработки ПДн (целесообразность, законность),
нормы хранения, правила предоставления доступа, права субъектов
ПДн, способы технической защиты информации, вводится должность
Уполномоченного ЕС по надзору в сфере защиты ПДн.

7.

Международное право в области защиты
персональных данных
Европейский союз
2002 год - директива о неприкосновенности личной жизни и рб
электронных коммуникациях (2002/58/ЕС)
Особенности: установила конкретные требования обработки ПДн в сети
Интернет
2016 год - закон ЕС о защите физических лиц в отношении обработки ПДн
и о свободном перемещении таких данных (общий регламент по защите
данных).
Особенности: расширил права субъектов ПДн, «право быть забытым»,
ограничения в обработке ПДн несовершеннолетних, сформирован Совет
по защите ПДн, дается понятие «идентификатор личности»

8.

9.

Международное право в области защиты
персональных данных
Европейский союз
2016 год - директива о защите физических лиц в отношении обработки ПДн
компетентными органами.
Особенности: необходимость регулирования законодательства по
полицейскому и судебному сотрудничеству, передача ПДн только для
раскрытия, расследования и предупреждения преступлений, определены
сроки хранения ПДн.

10.

Международное право в области защиты
персональных данных
Германия
– более детальные требования к назначению ответственного сотрудника;
– запрет на передачу ПДн без согласия;
– разрешено видеонаблюдение в общественных местах;
– разрешена обработка ПДн для скоринга;
– минимальный возраст - с 16 лет

11.

Международное право в области защиты
персональных данных
Франция
– особенности обработки ПДн умерших лиц;
– минимальный возраст - с 15 лет;
– специальный регистр (отказ от рекламных звонков и писем);
– покупка ПДн;
– обработка ПДн работника без согласия

12.

Международное право в области защиты
персональных данных
Кипр
– запрет на обработку генетических и биометрических ПДн;
– трансграничная передача специальных категорий ПДн с согласия
надзорного органа;
– видеонаблюдение на рабочем месте;
– обработка файлов cookie только с согласия

13.

Международное право в области защиты
персональных данных
Испания
– оператор ПДн самостоятельно рассматривает жалобы;
– обработка ПДн с публичных источников только с согласия;
– гарантии цифрового права при защите ПДн;
– право на забвение в поисковых системах;
– особенности использования cookie-файлов
– минимальный возраст - с 14 лет

14.

Международное право в области защиты
персональных данных
Швеция
– обработка ПДн умерших;
– согласие на обработку cookie-файлов через настройки браузера.

15.

Международное право в области защиты
персональных данных
Практика взаимодействия США и Европы по вопросам
обработки ПДн
2000 год - Принципы безопасной гавани для защиты личных данных
Особенности: приведение норм законодательства США к ЕС, выявлены
факты целенаправленного постоянного доступа АНБ США к ПДн граждан
ЕС, отменены в 2016.
2016 год - соглашение о защите конфиденциальности между ЕС и США.
Особенности:
определяет
подходы
коммерческих
компаний
защищенному обмену ПДн
к

16.

Международное право в области защиты
персональных данных
США
– федеральное законодательство регулирует только обязанности
госорганов;
– для ЮЛ - местное законодательство на уровне штатов;
– после событий 11 сентября разрешен сбор данных об американцах на
государственном уровне в целях безопасности.

17.

Законодательство по защите личных данных в
Российской империи и СССР
Российская империя
1857 год - Почтовый Устав (тайна корреспонденции)
1876 год - Телеграфный Устав (тайна переписки и сообщений)

18.

Законодательство по защите личных данных в
Российской империи и СССР
СССР
1918 год - Конституция РСФСР
Особенности: закреплены права человека
1924 год - Конституция СССР
Особенности: упоминаний о защите частной жизни нет.
1936 год - Конституция СССР
Особенности: тайна переписки и телефонных разговоров.
1991 год - запрет на сбор данных о человеке без его согласия

19.

Нормативные правовые акты по защите персональных данных
Конституция Российской Федерации
Указ Президента Российской
Федерации от 06.03.1997 № 188 «Об
утверждении Перечня сведений
конфиденциального характера»
Конвенция по защите физических лиц
при автоматизированной обработке
персональных данных (Страсбург,
28.01.1981 (с изменениями от
15.06.1999) ETS № 108
Федеральный закон от 19.12.2005 № 160-ФЗ «О
ратификации Конвенции Совета Европы о защите
физических лиц при автоматизированной обработке
персональных данных»
Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных»
Постановление Правительства
Российской Федерации от 01.11.2012 №
1119
Методические документы ФСТЭК
России
Постановление Правительства Российской
Федерации от 06.07.2008 № 512
Постановление Правительства
Российской Федерации от
15.09.2008 № 687
Методические документы ФСБ
России
Методические документы
Роскомнадзора

20.

21.

Нормативные правовые акты по защите
персональных данных
1. Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных»
2. Постановление Правительства Российской Федерации от 06.07.2008 №
512 «Об утверждении требований к материальным носителям
биометрических персональных данных и технологиям хранения таких
данных вне информационных систем персональных данных»
3. Постановление Правительства Российской Федерации от 15.09.2008 №
687 «Об утверждении Положения об особенностях обработки
персональных данных, осуществляемой без использования средств
автоматизации»
4. Постановление Правительства Российской Федерации от 21.03.2012 №
211 «Об утверждении перечня мер, направленных на обеспечение
выполнения обязанностей, предусмотренных Федеральным законом
"О персональных данных" и принятыми в соответствии с ним
нормативными правовыми актами, операторами, являющимися
государственными или муниципальными органами»
5. Постановление Правительства Российской Федерации от 01.11.2012 №
1119 «Об утверждении требований к защите персональных данных при
их обработке в информационных системах персональных данных»

22.

Нормативные правовые акты по защите
персональных данных
1. Состав и содержание организационных и технических мер по
обеспечению безопасности персональных данных при их
обработке в информационных системах персональных данных.
(Утверждены приказом ФСТЭК России от 18.02.2013 № 21)
2. Приказ ФСТЭК России от 11 февраля 2013 г. № 17 «Об
утверждении
требований
о
защите
информации,
не
составляющей государственную тайну, содержащейся в
государственных информационных системах»

23.

Нормативные правовые акты по защите
персональных данных ФСБ России
1.
2.
3.
4.
Типовые требования по организации и обеспечению функционирования
шифровальных (криптографических) средств, предназначенных для защиты
информации, не содержащей сведений, составляющих государственную тайну в
случае их использования для обеспечения безопасности персональных данных при
их обработке в информационных системах персональных данных» (утв. ФСБ России
21.02.2008 № 149/6/6-622)
Методические рекомендации по обеспечению с помощью криптосредств
безопасности персональных данных при их обработке в информационных системах
персональных данных с использованием средств автоматизации (утв. ФСБ России
21.02.2008 № 149/54-144)
Методические рекомендации по разработке нормативных правовых актов,
определяющих угрозы безопасности персональных данных, актуальные при
обработке персональных данных в информационных системах персональных
данных,
эксплуатируемых
при
осуществлении
соответствующих
видов
деятельности (утв. ФСБ России 31.03.2015 № 149/7/2/6-432)
Приказ ФСБ России от 10.07.2014 № 378 «Об утверждении Состава и содержания
организационных и технических мер по обеспечению безопасности персональных
данных при их обработке в информационных системах персональных данных с
использованием средств криптографической защиты информации, необходимых
для выполнения установленных Правительством Российской Федерации
требований к защите персональных данных для каждого из уровней защищенности»

24.

Федеральный закон от 27.07.2006 №152-ФЗ «О
персональных данных»
п. 2 ст. 1
Нормы закона не распространяются на отношения, возникающие
при:
• обработке
персональных
данных
физическими
лицами
исключительно для личных и семейных нужд, если при этом не
нарушаются права субъектов персональных данных;
- организации хранения, комплектования, учета и использования
содержащих персональные данные документов Архивного фонда
Российской Федерации и других архивных документов в
соответствии с законодательством об архивном деле Российской
Федерации;
- обработке персональных данных, отнесенных в установленном
порядке к сведениям, составляющим государственную тайну;

25.

Виды обработки персональных данных
Сбор
Запись
Систематизация
Накопление
Хранение
Уточнение
Извлечение
Виды обработки ПДн
целенаправленный процесс получения ПДн оператором
непосредственно от субъекта ПДн либо через специально
привлеченных для этого третьих лиц
процесс
преобразования
сигналов
информации
в
пространственное изменение физических характеристик
или формы носителя записи с целью сохранения и
последующего воспроизведения записанной информации
(ГОСТ 13699-91)
присвоение данным или документам классификационных
индексов в соответствии с правилами какой-либо
классификации (ГОСТ 7.74-96)
это результат интеграции, систематизации, уточнения и
учета информации в определенных системах
это процесс поддержания исходной информации в виде,
обеспечивающем выдачу данных по запросам конечных
пользователей в установленные сроки.
обновление или изменение ПДн
совокупность
алгоритмов
и
методов
обработки
информации, используемых для выборки данных из
хранилищ или баз данных

26.

Виды обработки персональных данных
Использование
Распространение
Предоставление
Блокирование
Уничтожение
Обезличивание
действия (операции) с ПДн, совершаемые оператором в
целях принятия решений или совершения иных действий,
порождающих юридические последствия в отношении
субъекта ПДн или других лиц либо иным образом
затрагивающих права и свободы субъекта ПДн или других
лиц
действия,
направленные
на
раскрытие
ПДн
неопределенному кругу лиц
действия, направленные на раскрытие ПДн определенному
лицу или определенному кругу лиц
временное прекращение обработки ПДн (за исключением
случаев, если обработка необходима для уточнения ПДн)
действия, в результате которых становится невозможным
восстановить содержание ПДн в информационной системе
ПДн и (или) в результате которых уничтожаются
материальные носители ПДн
действия, в результате которых становится невозможным
без
использования
дополнительной
информации
определить принадлежность ПДн конкретному субъекту
ПДн

27.

Согласие субъекта на обработку ПДн
Требуется
Обработка ПДн (ст. 6, 9)
Включение ПДн в общедоступные
источники ПДн (ст. 8)
Специальные категории ПДн (ст. 10)
Биометрические ПДн (ст. 11)
Осуществление транграничной
передачи ПДн (ст. 12)
Распространение ПДн (ст. 22)
Передачу ПДн третьим лицам (ст. 23)
Принятие на основании
исключительно автоматизированной
обработки ПДн решений,
порождающих юридические
последствия в отношении субъекта
ПДн или иным образом
затрагивающих его права и законные
интересы (ст. 16)
Не требуется
Если обработка ПДн необходима для защиты жизни,
здоровья или иных жизненно важных интересов
субъекта ПДн, если получение согласия субъекта
ПДн невозможно
Если обработку ПДн осуществляет лицо, которому
оператором поручена обработка ПДн
Если
обработка
биометрических
ПДн
осуществляется
в
связи
с
реализацией
международных договоров Российской Федерации о
реадмиссии, в связи с осуществлением правосудия
и исполнением судебных актов, а также в случаях,
предусмотренных законодательством об обороне, о
безопасности, о противодействии терроризму, о
транспортной безопасности, о противодействии
коррупции, об оперативно-розыскной деятельности,
о
государственной
службе,
уголовноисполнительным
законодательством
Российской
Федерации,
законодательством
Российской
Федерации о порядке выезда из Российской
Федерации и въезда в Российскую Федерацию, о
гражданстве Российской Федерации

28.

Меры по обеспечению безопасности ПДн при их обработке
Оператор при обработке ПДн обязан принимать необходимые правовые, организационные
и технические меры или обеспечивать их принятие для защиты ПДн от неправомерного
или случайного доступа к ним, уничтожения, изменения, блокирования, копирования,
предоставления, распространения ПДн, а также от иных неправомерных действий в
отношении ПДн.
Меры
Реализация мер
Методика определения актуальных угроз безопасности
персональных
данных
при
их
обработке
в
информационных системах персональных данных
Определение
безопасности ПДн
обработке в ИСПДн
угроз
Методические
рекомендации
по
разработке
при их
нормативных правовых актов, определяющих угрозы
безопасности ПДн, актуальные при обработке ПДн в
ИСПДн,
эксплуатируемых
при
осуществлении
соответствующих видов деятельности (утв. ФСБ России
31.03.2015 № 149/7/2/6-432)

29.

Меры по обеспечению безопасности ПДн при их
обработке
Меры
Реализация мер
Постановление Правительства РФ от 01.11.2012 №1119 «Об
утверждении требований к защите персональных данных при их
обработке в информационных системах персональных данных»
Приказ ФСТЭК России от 11.02.2013 № 17 «Об утверждении
Требований
о
защите
информации,
не
составляющей
государственную тайну, содержащейся в государственных
информационных системах»
Применение
Приказ ФСТЭК России от 18.02.2013 № 21 «Об утверждении
организационных
и
Состава и содержания организационных и технических мер по
технических мер по
обеспечению безопасности персональных данных при их
обеспечению
обработке в информационных системах персональных данных»
безопасности ПДн при
Приказ ФСБ России от 10.07.2014 № 378 «Об утверждении
их обработке в ИСПДн
Состава и содержания организационных и технических мер по
обеспечению безопасности персональных данных при их
обработке в информационных системах персональных данных с
использованием
средств
криптографической
защиты
информации, необходимых для выполнения установленных
Правительством Российской Федерации требований к защите
персональных данных для каждого из уровней защищенности»

30.

Меры по обеспечению безопасности ПДн при их обработке
Меры
Реализация мер
Применение
прошедших
в
Государственный
реестр
установленном
порядке
процедуру
сертифицированных
средств
защиты
оценки соответствия средств защиты
информации № РОСС RU.0001.01БИ00
информации
Оценка эффективности принимаемых
мер по обеспечению безопасности ПДн
до ввода в эксплуатацию ИСПДн;
Учет машинных носителей ПДн;
Обнаружение фактов НСД к ПДн и
принятием мер;
п. 17 требований к защите персональных
Восстановление
ПДн, данных
при
их
обработке
в
модифицированных или уничтоженных информационных системах персональных
данных, утвержденных Постановлением
вследствие НСД к ним;
Установление правил доступа к ПДн, Правительства РФ от 01.11.2012 №1119
обрабатываемым в ИСПДн, а также
обеспечением регистрации и учета всех
действий, совершаемых с ПДн в ИСПДн;
Контроль за принимаемыми мерами по
обеспечению
безопасности
ПДн
и
уровня защищенности ИСПДн.

31.

Обезличивание ПДн
Обезличивание персональных данных - это действия, в результате которых
становится невозможным без использования дополнительной информации
определить принадлежность персональных данных конкретному субъекту
персональных данных.
Обработка обезличенных ПДн – любое действие, совершаемое с использованием
средств автоматизации с обезличенными ПДн, без применения предварительного
деобезличивания.
Деобезличивание – действия, в результате которых обезличенные данные
принимают вид, позволяющий определить их принадлежность конкретному
субъекту ПДн с помощью СВТ.
Анонимность – невозможность однозначной идентификации субъектов данных,
полученных в результате обезличивания, без применения дополнительной
информации.
«Методические рекомендации по применению приказа Роскомнадзора от 5
сентября 2013 г. N 996 "Об утверждении требований и методов по обезличиванию
персональных данных» (утв. Роскомнадзором 13.12.2013)

32.

Требования к защите персональных данных при их
обработке в информационных системах
персональных данных (Постановление
Правительства РФ №1119 от 01.11.2012 г. )
Документ устанавливает требования к защите персональных данных
при их обработке в ИСПДн и уровни защищенности ПДн.
• Безопасность персональных данных обеспечивается с помощью
системы защиты персональных данных, нейтрализующей актуальные
угрозы, определенные в соответствии с частью 5 статьи 19 ФЗ «О
персональных данных».
•Система защиты персональных данных включает в себя
организационные и (или) технические меры, определенные
с учетом актуальных угроз безопасности ПДн и информационных
технологий, используемых в ИСПДн.

33.

Система защиты персональных данных
Актуальные
угрозы
безопасности ПДн
Организационные меры
Информационные технологии
Технические меры

34.

Виды ИС в зависимости от категории ПДн

35.

Состав и содержание организационных и технических мер
по обеспечению безопасности персональных данных при их
обработке в информационных системах персональных данных»,
утверждены приказом ФСТЭК России от 18 февраля 2013 г. № 21.
Устанавливает состав и содержание организационных
и технических мер по обеспечению безопасности
персональных данных при их обработке в ИСПДн для
защиты ПДн от неправомерного или случайного
доступа к ним, уничтожения, изменения,
блокирования, копирования, предоставления,
распространения ПДн, а также от иных
неправомерных действий.
конфиденциальность
целостность
доступность35

36.

Меры по защите персональных данных
В состав мер по обеспечению безопасности ПДн с учетом
актуальных угроз безопасности персональных данных и
применяемых информационных технологий входят ИСПДн
в систему защиты персональных данных входят:
идентификация и аутентификация субъектов
доступа и объектов доступа;
управление доступом субъектов доступа и объектов
доступа;
ограничение программной среды;
защита машинных носителей информации;
регистрация событий безопасности;
антивирусная защита;
обнаружение (предотвращение) вторжений;
контроль (анализ) защищенности ПДн;

37.

Меры по защите персональных данных
обеспечение целостности информационной системы и
ПДн;
обеспечение доступности ПДн;
защита среды виртуализации;
защита технических средств;
защита информационной системы, ее средств и систем
связи и передачи данных;
выявление инцидентов (события или группы событий),
которые
могут
привести
к
сбоям
или
нарушению
функционирования ИСПДн и (или) возникновению угроз
безопасности
ПДн
(инциденты
безопасности)
реагирование на них;
управление конфигурацией ИСПДн и СЗПДн.
и

38.

Система защиты персональных данных
Управление
конфигурацией
Идентификация и
аутентификация
Ограничение
программной
среды
Выявление
инцидентов
Защита технич.
средств
Защита связи и
передачи данных
ИСПДн
Обеспечение
целостности
ИСПДн и ПДн
Защита машинных
носителей
Регистрация событий
безопасности
Защита среды
виртуализации
Обеспечение
доступности ПДн
Управление
доступом
СЗПДн
Анализ
защищенности
ПДн
Антивирусная
защита
Обнаружение
вторжений

39.

Ст. 13.11 КоАП РФ
Состав административного правонарушения
Штраф, тыс. руб.
Обработка ПДн в случаях, не предусмотренных законодательством РФ, либо их
обработка, несовместимая с целями сбора этих данных
Для ДЛ - от 5 до 10, для ЮЛ от 30 до 50. Вместо штрафа
может быть сделано
предупреждение
Обработка ПДн без согласия в письменной форме, либо обработка ПДн с
нарушением установленных законодательством РФ требований к составу
сведений, включаемых в согласие в письменной форме
Для ДЛ - от 10 до 20,
для ЮЛ - от 15 до 75
Невыполнение оператором предусмотренной законодательством РФ обязанности
по опубликованию или обеспечению иным образом неограниченного доступа к
документу, определяющему политику оператора в отношении обработки ПДн, или
сведениям о реализуемых требованиях к защите ПДн
Для ДЛ - от 3 до 6, для ИП - от
5 до 10, для ЮЛ - от 15 до 30.
Вместо штрафа может быть
сделано предупреждение
Невыполнение оператором предусмотренной законодательством РФ обязанности
по предоставлению субъекту ПДн информации, касающейся обработки его ПДн
Для ДЛ - от 4 до 6, для ИП - от
10 до 15, для ЮЛ - от 20 до 40.
Вместо штрафа может быть
сделано предупреждение
Невыполнение оператором в сроки, установленные законодательством РФ,
требования субъекта персональных данных об уточнении ПДн, их блокировании
или уничтожении в случае, если данные являются неполными, устаревшими,
неточными, незаконно полученными или не являются необходимыми для заявленной
цели обработки
Для ДЛ - от 4 до 10, для ИП - от
10 до 20, для ЮЛ - от 25 до 45.
Вместо штрафа может быть
сделано предупреждение
Невыполнение оператором при обработке ПДн без использования средств
автоматизации обязанности по соблюдению условий, обеспечивающих в
соответствии с законодательством РФ сохранность ПДн при хранении материальных
носителей персональных данных и исключающих несанкционированный к ним
доступ, если это повлекло неправомерный или случайный доступ к ПДн, их
уничтожение,
изменение,
блокирование,
копирование,
предоставление,
распространение либо иные неправомерные действия в отношении ПДн, при
отсутствии признаков уголовно наказуемого деяния
Для ДЛ - от 4 до 10, для ИП - от
10 до 20, для ЮЛ - от 25 до 50

40.

Государственная система защиты информации
Государственная система защиты информации – совокупность
органов государственной власти, органов местного самоуправления и
организаций,
участвующих
в
организации,
обеспечении
или осуществлении противодействия иностранным техническим
разведкам и технической защиты информации, а также используемых
ими методов, способов и средств.
Основные направления
Противодействие иностранным техническим разведкам (ПД
ИТР) – деятельность, направленная на исключение или затруднение
получения
иностранными
техническими
разведкам
разведывательной информации.
Техническая защита информации (ТЗИ) – деятельность,
направленная на ограничение или исключение возможностей по
получению,
уничтожению
или
блокированию
защищаемой
информации с применением технических средств и осуществляемая
организационными,
программными
и
техническими
(некриптографическими) мерами защиты информации от ее утечки
по техническим каналам, несанкционированного доступа к ней и
специальных воздействий на нее.

41.

42.

Организационная структура
Государственной системы защиты информации
Межведомственная комиссия по защите государственной тайны
Органы государственной и исполнительной власти
и их структурные подразделения по защите информации
ФСТЭК России
Головная научно-исследовательская
организация в Российской Федерации
по защите информации
(ФАУ «ГНИИИ ПТЗИ ФСТЭК России»)
СВР
России
ФСБ
России
Служба специальной связи и
информации
при ФСО России
Минобороны
России
МВД
России
Другие органы
государственной власти
Отраслевые подразделения по защите информации
интегрированных структур оборонно-промышленного комплекса
Головные и ведущие научно-исследовательские, научно-технические, проектные
и конструкторские организации по защите информации органов государственной власти и ОПК
Организации, специализирующиеся на проведении работ в области защиты информации, сертификации,
лицензировании и аттестации объектов информации
Организация, проводящие работы по оборонной тематике и другие работы
с использованием сведений, отнесенных к государственной или служебной тайне,
их подразделения по защите информации
Образовательные организации по подготовке и переподготовке кадров
в области защиты информации
42

43.

Структурные уровни
Государственной системы защиты информации
Деятельность государственной системы защиты
информации осуществляется на :
Федеральный уровень
Межрегиональный уровень (федеральный округ)
Ведомственный (отраслевой) уровень
Региональный уровень (субъект Российской Федерации)
Объектовый уровень

44.

Структурные уровни
Государственной системы защиты информации
Федеральный уровень
Военно – промышленная
комиссия
Президент Российской Федерации
Правительство
Российской Федерации
Совет Безопасности
Российской Федерации
Государственная дума
Российской Федерации
Межведомственная комиссия
по защите государственной
тайны
Межведомственная комиссия
по информационной
безопасности
Комитет
по безопасности
ФСТЭК
России
ФСБ
России
ФСО
России
СВР
России
Головная научно-исследовательская организация
в Российской Федерации по защите информации
(ФАУ «ГНИИИ ПТЗИ ФСТЭК России»)
МВД
России
Подкомитет
по информационной
безопасности

45.

Структурные уровни
государственной системы защиты информации
Ведомственный (отраслевой) уровень
Федеральный орган
исполнительной власти
ПДТК
ПЗИ
Корпоративная структура
управления организациями ОПК
ПЗГТ
ПДТК
ПЗИ
ПЗГТ
Головные и ведущие научно-исследовательские, научно-технические,
проектные и конструкторские организации по защите информации
органов государственной власти и государственных корпораций
Подведомственные организации
(учреждения, предприятия)
ПДТК
ПЗИ
ПЗГТ
Подведомственные организации
(учреждения, предприятия)
ПДТК
ПЗИ
ПЗГТ

46.

Структурные уровни
государственной системы защиты информации
Межрегиональный уровень (федеральный округ)
Полномочный представитель Президента Российской Федерации
в федеральном округе
Совещательные органы в федеральном округе:
Координационный Совет по защите информации
Совет по проблемам ПД ИТР и ТЗИ предприятий ОПК
Управление ФСТЭК России в федеральном округе
Управление ССИ ФСО России в федеральном округе
Территориальные органы федеральных органов исполнительной власти
в федеральных округах Российской Федерации
ПДТК
ПЗГТ
ПЗИ
Окружной аттестационный центр по проведению специальных экспертиз
Учебно-методический центр по защите информации

47.

Структурные уровни
государственной системы защиты информации
Региональный уровень ( субъект Российской Федерации)
Высшее должностное лицо субъекта Российской Федерации
Совещательные органы
ОГВ и ОИВ субъекта РФ
ПДТК
ОМСУ
ПЗИ
ПЗГТ
Управления ФСБ России в субъектах Российской Федерации
Аттестационные центры ФСБ России
Центры ССИ ФСО России в субъектах Российской Федерации
Территориальные органы федеральных органов исполнительной власти
в субъектах Российской Федерации
ПДТК
ПЗИ
ПЗГТ
Органы по аттестации объектов информатизации по требованиям безопасности
информации
Испытательные лаборатории
Лицензионные центры
Образовательные
организации,
осуществляющие
подготовку,
квалификации и переподготовке кадров в области защиты информации
повышения

48.

Структурные уровни
государственной системы защиты информации
Объектовый уровень
Предприятия (организации, учреждения) независимо от
форм собственности и ведомственной принадлежности,
проводящие работы по оборонной тематике или другие работы
с использованием сведений, отнесенных к государственной или
служебной тайне, их подразделения по защите информации
ПДТК
ПЗИ
ПЗГТ

49.

Основные задачи
Государственной системы защиты информации
организация и координация работ по защите информации в оборонной,
экономической, политической, научно-технической и других сферах деятельности;
принятие в пределах компетенции правовых актов, регулирующих отношения
в области защиты информации;
исключение или существенное затруднение добывания информации ТСР,
а также предотвращение ее утечки по техническим каналам, НСД к ней,
предупреждение преднамеренных программно-технических возможностей с целью
разрушения (уничтожения) или искажения информации;
анализ состояния и прогнозирования возможностей технических средств
разведки и способов их применения;
создание средств защиты информации и контроля за ее эффективностью;
контроль состояния защиты информации в органах государственной власти
и на предприятиях.
Пункт 10 Положения о ГСЗИ

50.

Защита информации
Пункт 4. Положения ГСЗИ
Защита информации осуществляется
путем выполнения комплекса мероприятий по:
Предотвращения утечки
защищаемой информации
от утечки по техническим
каналам
Предотвращение
несанкционированного
доступа к защищаемой
информации
Предупреждение
преднамеренных
программно-технических
воздействий
на защищаемую
информацию
Направления работ по защите информации

51.

Главные направления
работ по защиты информации
Пункт 6. Положения ГСЗИ
Определение сведений, охраняемых от технических средств разведки.
Анализ и оценка реальной опасности перехвата информации техническими средствами
разведки, несанкционированного доступа, разрушения (уничтожения) или искажения
информация путем преднамеренных программно-технических воздействий в процессе ее
обработки,
передачи
и
хранения
в технических средствах, выявление возможных технических каналов утечки сведений,
подлежащих защите.
Разработка организационно-технических мероприятий
по защите информации и их реализация
Контроль состояния защиты информации
English     Русский Rules