Similar presentations:
Проблема обеспечения безопасности персональных данных граждан
1.
Слайды №№6-30 предоставлены ЗАО «Открытые технологии 98»,2.
Одной из основных задач развитияинформационного общества в
Российской Федерации является
совершенствование системы
государственных гарантий конституционных
прав человека и гражданина в
информационной сфере, в том числе
гарантий неприкосновенности его частной
жизни.
«Стратегия развития информационного общества в РФ»
№ Пр-212 от 7.02.2008 г.
3.
В условиях формированияинформационного общества особую
значимость приобретает проблема
обеспечения безопасности информации,
особенно это касается информации,
накапливаемой и обрабатываемой в
информационных системах органов
государственной власти всех уровней , в
том числе информации об обстоятельствах
частной жизни граждан – их персональных
данных
4.
Каждый имеетправо на
неприкосновенность
частной жизни,
личную и семейную
тайну, защиту своей
чести и доброго
имени.
Сбор, хранение,
использование и
распространение
информации о
частной жизни лица
без его согласия не
допускаются.
Конституция РФ, Статья 23
Конституция РФ, Статья 24
5.
Выделение категории «персональные данные» изболее общей категории «частная жизнь», связано
прежде
всего
с
распространением
автоматизированных
систем
обработки
и
хранения информации, в первую очередь
компьютерных баз данных, к которым возможен
несанкционированный
доступ.
Именно
эти
системы, по сути, сделавшие революцию в
вопросах структурирования, хранения и поиска
необходимых данных, создали предпосылки для
возникновения
проблемы
защиты
сведений
персонального характера – персональных данных
с целью защиты прав и свобод граждан.
6.
o В рамках гармонизации российского и международногозаконодательства в 2007 году принят федеральный закон
ФЗ-152 «О персональных данных», который обязывает
оператора при обработке персональных данных принимать
необходимые организационные и технические меры.
Это порождает ряд задач:
o
после 01.01.2010 (срок может быть перенесён на год) все ИСПДн
должны удовлетворять требованиям ФЗ-152;
o
оператор должен зарегистрироваться*;
o
оператор должен провести классификацию ИСПДн;
o
средства защиты ПДн должны быть сертифицированы;
o
оператора будут проверять.
* не требуется регистрация, если обрабатываются ПДн сотрудников организации в рамках трудового законодательства.
7.
Персональные данные (ПДн) - любая информация,относящаяся к физическому лицу.
o
фамилия, имя, отчество;
o
серия и номер паспорта;
o
год, месяц, дата рождения;
o
адрес, семейное положение;
o
образование, профессия;
o
доходы, номер счёта, ИНН;
o
история болезни;
o
вероисповедание;
o
дополнительная информация…
8.
Обработка ПДн – сбор, систематизация, накопление,хранение, уточнение (обновление, изменение),
использование, распространение, обезличивание,
блокирование, уничтожение.
9.
o «Оператор - государственный орган, муниципальный орган,юридическое или физическое лицо, организующие и (или)
осуществляющие обработку персональных данных, а также
определяющие цели и содержание обработки персональных
данных».
o «Оператор при обработке персональных данных обязан
принимать необходимые организационные и технические
меры, в том числе использовать шифровальные средства,
для защиты персональных данных от неправомерного или
случайного их использования.»
10.
Персональные данные граждан распределены по базамданных государственных и муниципальных органов,
например:
o
налоговой службы,
o
службы занятости,
o
пенсионного фонда,
o
фонда обязательного медицинского страхования,
o
управления внутренних дел,
o
операторов связи,
o
регистрационных служб, статистики, избиркома,
муниципалитетов и т.д.
11.
ИСПДн – классифицируются по категориям:o К4 - обезличенные и (или) общедоступные данные.
o К3 - персональные данные, позволяющие
идентифицировать субъекта персональных данных;
o К2 - персональные данные, позволяющие
идентифицировать субъекта и получить о нем
дополнительную информацию, за исключением данных К1;
o К1 - персональные данные, касающиеся расовой,
национальной принадлежности, политических взглядов,
религиозных и философских убеждений, состояния
здоровья, интимной жизни и т.п.
* ИСПДн – информационная система обработки персональных данных
12.
Согласно требованию законодательства операторыПДн разделены на категории.
Категория ПДн
Обезличенные или
общедоступные данные
ФИО, паспорт
ФИО, паспорт, ИНН, номер счёта,
гос.номер авто ...
ПДн + религия, здоровье,
национальная принадлежность …
Количество ПДн
<1 000
от 1 000
>100 000
до100 000
K4
K4
K4
K3
K3
K2
K3
K2
K1
K1
K1
K1
Дополнительные признаки:
трансграничная обработка ПДн
территориальная распределённость.
13.
Основополагающие международные документы:1. Конвенция Совета Европы о защите прав личности в
связи с автоматической обработкой персональных
данных (1981 год).
2. Руководящие принципы Организации по
экономическому сотрудничеству и развитию о защите
приватности в связи с трансграничной передачей
персональных данных.
* Почти 30 стран признали Конвенцию Совета Европы и еще несколько государств сделают это в будущем.
14.
Государственная Дума РФ ратифицировала конвенцию вноябре 2001 года, а 20 декабря 2005 года Президент РФ
подписал Федеральный закон «О ратификации Конвенции
Совета Европы о защите физических лиц при
автоматизированной обработке
персональных данных»*.
* Почти 30 стран признали Конвенцию Совета Европы и еще несколько государств сделают это в будущем.
15.
РосКомНадзорконтроль и надзор за
соответствием обработки ПДн
требованиям законодательства.
ФСБ РФ
регулирует
использование
криптографии.
ФСТЭК России
устанавливает методы и
способы защиты информации
16.
o ФЗ №160 «О ратификации Конвенции Совета Европы о защитефизических лиц при автоматизированной обработке
персональных данных»;
o ФЗ №152 «О персональных данных»;
o ПП №781 «Об утверждении Положения об обеспечении
безопасности персональных данных при их обработке в
информационных системах персональных данных»;
o ПП №687 «Об утверждении Положения об особенностях
обработки персональных данных, осуществляемой без
использования средств автоматизации»;
o Приказ №55/86/20 «Порядок проведения классификации
информационных систем персональных данных».
* не требуется регистрация, если обрабатываются ПДн сотрудников организации в рамках трудового законодательства.
17.
o Документы ФСБ:o Методические рекомендации по обеспечению с помощью
криптосредств безопасности персональных данных при их
обработке в информационных системах персональных данных с
использованием средств автоматизации;
o Типовые требования по организации и обеспечению
функционирования шифровальных (криптографических)
средств, предназначенных для защиты информации, не
содержащей сведений, составляющих государственную тайну в
случае их использования для обеспечения безопасности
персональных данных при их обработке в информационных
системах персональных данных.
* не требуется регистрация, если обрабатываются ПДн сотрудников организации в рамках трудового законодательства.
18.
o Документы ФСТЭК:o Рекомендации по обеспечению безопасности ПД при их
обработке в ИСПДн;
o Основные мероприятия по организации и техническому
обеспечению безопасности ПД, обрабатываемых в ИСПДн;
o Базовая модель угроз безопасности ПД при их обработке в
ИСПДн;
o Методика определения актуальных угроз безопасности ПД при
их обработке в ИСПДн;
* не требуется регистрация, если обрабатываются ПДн сотрудников организации в рамках трудового законодательства.
19.
o Нарушение КоАП (ст. КоАП 13.11, 13.12, 13.14, 5.27, 19.5, 19.20):o штраф от 5 до 500 тыс. руб.;
o приостановление деятельности организации до 90 суток;
o дисквалификация должностного лица до 3-х лет;
o конфискация несертифицированных средств обработки.
o Уголовная ответственность (ст. УК 137, 140, 171):
o штраф до 300 тыс. руб.;
o лишение права занимать должность на срок до 5 лет;
o арест до 6 мес.
o Нарушение трудового законодательства (ст. ТК 81, 90, 237):
o увольнение, выплата компенсаций.
* согласно ФЗ№152 ст. 24
20.
Подход к выполнению Законаo Выполнение всех требований к назначенному классу;
o Выделение ИСПДн из ИТ-ландшафта предприятия;
o Аутсорсинг обработки ПДн;
o Обезличивание ПДн в ИС и изменение правил обработки;
o Принятие рисков, связанных с несоответствием.
21.
1. Обследованиеo Провести инвентаризацию ИТ-средств, выявить части
системы, где присутствует обработка ПДн;
2. Ограничить права доступа к ПДн
o Определить лица, которым доступ к ИСПДн необходим
для выполнения служебных (трудовых) обязанностей;
составить и утвердить список соответствующих лиц;
o Провести мероприятия по ведению учёта лиц,
допущенных к работе с персональными данными в
информационной системе.
22.
3. Разработать регламент обработки ПДнo Работники должны быть ознакомлены под роспись с
документами работодателя, устанавливающими
порядок обработки персональных данных работников,
а также об их правах и обязанностях в этой области
o Проект «разрешения» на обработку ПДн для
субъектов.
4. Сформировать модель угроз
o Согласно методическим рекомендациям ФСБ
определить угрозы безопасности персональных данных
при их обработке.
23.
5. Провести классификацию ИСПДнo Классификацию провести согласно разбиению на К1,
К2, К3, К4 (важно не ошибиться, чтобы потом не
перестраивать систему заново).
6. Направить уведомление в уполномоченный орган
o Провести регистрацию в реестре операторов (в
электронном виде): http://pd.rsoc.ru/operators-registry/
24.
http:// pd.rsoc.ru/operators-registry/25.
7. Внедрить систему информационной безопасностиИСПДн
o Обеспечить выполнение мер по безопасности ПДн
при их обработке;
o Для ИСПДн К1 и К2 обязательная сертификация
(аттестация) по требованиям безопасности
информации (для остальных – декларация
соответствия);
o Контролировать соблюдение условий использования
средств защиты информации, предусмотренных
эксплуатационной и технической документацией.
26.
Типичные вопросы проверяющихПроверки прошли уже в 2008 и 2009 годах.
План проверок на 2010 известен.
o Правильно ли проведена классификация системы
обработки ПДн?
o Что сделано в рамках создания системы защиты
персональных данных (проектирование, внедрение
сертифицированных средств защиты, аттестация)?
o Защищена ли сеть передачи данных?
o Предусмотрена ли трансграничная передача ПДн?
o ПДн обрабатываются сертифицированным программноаппаратным комплексом?
27.
План проверок28.
Практика проверок*o За второй квартал 2009 года территориальными органами
Роскомнадзора было проведено 205 проверок операторов
ПДн (119 плановых и 86 внеплановых проверок):
o В результате выдано 293 предписания об устранении
выявленных нарушений;
o Составлено и направлено на рассмотрение в суды 27
протоколов об административных правонарушениях;
o В 25 случаях материалы проверок были направлены в
органы прокуратуры для рассмотрения вопроса о
возбуждении дела об административном правонарушении.
* по материалам отчёта Роскомнадзора за 2-ой квартал 2009 года.
29.
Постановка задачи ИСПДнСистема защиты персональных данных (СЗПДн) - это
комплекс программных, технических и организационных
защитных мер, предназначенный для обеспечения
требуемого уровня защиты персональных данных (ПДн)
клиентов и сотрудников.
Обработка ПДн
сотрудников
Обработка
«внешних» ПДн
Отдел кадров
Отдел …*
Локальное
хранилище ПДн
30.
«Классическая» защита ПДнРаспределённое хранилище ИСПДн,
требуется много средств защиты,
высокие затраты на проведение
работ по внедрению
31.
«Централизованная» защита ПДнАттестуем только
центр обработки данных,
рабочие места
легче защищать
Эксплуатируем ЦОД
и для других нужд
министерств и ведомств
32.
Состав нормативных и методических документов:Федеральный закон 2006 г. № 149-ФЗ «Об информации,
информационных технологиях и защите информации».
Федеральный закон 2006 г. № 152-ФЗ «О персональных
данных»
Постановление Правительства РФ от 17 ноября 2007 г. №
781 «Об утверждении Положения об обеспечении
безопасности персональных данных при их обработке в
ИС персональных данных»
Постановление Правительства РФ от 15 сентября 2008 г.
№ 687 «Об утверждении положения об особенностях
обработки персональных данных, осуществляемой без
использования средств автоматизации».
Документы уполномоченных федеральных органов
33.
Документы предназначены для использованияпри обеспечении безопасности ПДн в ИС:
государственных и муниципальных органов
власти;
юридических лиц (независимо от формы их
собственности);
физических лиц (кроме случаев использования
ИС только для личных и семейных нужд).
34.
1. Порядок проведения классификации ИСПДн. (Совместный приказФСТЭК России, ФСБ России и Мининформсвязи России от 13 февраля
2008 г. № 55/86/20. Зарегистрирован в Минюсте России 3.04.2008 г.,
регистрационный № 11462).
ФСТЭК России
2. Базовая модель угроз безопасности ПДн при их обработке в
ИСПДн. ДСП.
3. Методика определения актуальных угроз безопасности ПДн при их
обработке в ИСПДн. ДСП.
4. Рекомендации по обеспечению безопасности ПДн при их
обработке в ИСПДн. ДСП.
5. Основные мероприятия по организации и техническому
обеспечению безопасности ПДн, обрабатываемых в ИСПДн. ДСП.
Утверждены зам. директора ФСТЭК России 14-15.02.2008 г.
35.
ФСБ России6. Типовые требования по организации и обеспечению
функционирования шифровальных (криптографических) средств,
предназначенных для защиты информации, не содержащей сведений,
составляющих государственную тайну, в случае их использования для
обеспечения безопасности ПДн при их обработке в ИСПДн. № 149/6/6622, 2008 г., ФСБ России.
7. Методические рекомендации по обеспечению с помощью
криптосредств безопасности ПДн при их обработке в ИСПДн с
использованием средств автоматизации. № 149/54-144, 2008 г. ФСБ
России.
36.
1. Сфера действия (ст. 1)1. ФЗ регулируются отношения, связанные с обработкой ПДн, осуществляемой федеральными
органами государственной власти, органами государственной власти субъектов Российской Федерации,
иными государственными органами, органами местного самоуправления, не входящими в систему
органов местного самоуправления муниципальными органами, юридическими лицами, физическими
лицами с использованием средств автоматизации или без использования таких средств.
2. Действие ФЗ не распространяется на отношения, возникающие при:
1) обработке ПДн физическими лицами исключительно для личных и семейных нужд, если при этом
не нарушаются права субъектов ПДн;
2) организации хранения, комплектования, учета и использования содержащих персональные данные
документов Архивного фонда РФ других архивных документов в соответствии с законодательством об
архивном деле в РФ;
3) обработке подлежащих включению в единый государственный реестр индивидуальных
предпринимателей сведений о физических лицах, если такая обработка осуществляется в соответствии с
законодательством РФ в связи с деятельностью физического лица в качестве индивидуального
предпринимателя;
4) обработке ПД, отнесенных в установленном порядке к сведениям, составляющим
государственную тайну.
37.
Целью Федерального закона является обеспечение защиты прав и свободчеловека и гражданина при обработке его персональных данных, в том числе
защиты прав на неприкосновенность частной жизни, личную и семейную тайну.
3. Понятийный аппарат (ст. 3)
1) персональные данные - любая информация, относящаяся к
определенному или определяемому на основании такой информации
физическому лицу (субъекту персональных данных), в том числе его фамилия,
имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное,
имущественное положение, образование, профессия, доходы, другая
информация.
2) оператор - государственный орган, муниципальный орган, юридическое
или физическое лицо, организующие и (или) осуществляющие обработку
персональных данных, а также определяющие цели и содержание обработки
персональных данных.
3) обработка персональных данных - действия (операции) с персональными
данными, включая сбор, систематизацию, накопление, хранение, уточнение
(обновление, изменение), использование, распространение (в том числе
передачу), обезличивание, блокирование, уничтожение персональных данных.
38.
1. Обработка ПДн должна осуществляться на основе принципов:1) законности целей и способов обработки ПДн и добросовестности;
2) соответствия целей обработки ПДн целям, заранее определенным и
заявленным при сборе персональных данных, а также полномочиям
оператора;
3) соответствия объема и характера обрабатываемых ПДн, способов
обработки персональных данных целям обработки персональных данных;
4) достоверности ПДн, их достаточности для целей обработки,
недопустимости обработки ПДн, избыточных по отношению к целям,
заявленным при сборе персональных данных;
5) недопустимости объединения созданных для несовместимых между
собой целей баз данных информационных систем ПДн.
2. Хранение персональных данных должно осуществляться в форме,
позволяющей определить субъекта персональных данных, не дольше, чем этого
требуют цели их обработки, и они подлежат уничтожению по достижении целей
обработки или в случае утраты необходимости в их достижении.
39.
1. Обработка ПДн может осуществляться оператором с согласия субъектовПДн, за исключением случаев, предусмотренных частью 2 настоящей статьи.
2. Согласие субъекта ПДн, не требуется в следующих случаях:
1) обработка ПДн осуществляется на основании ФЗ, устанавливающего ее
цель, условия получения ПДн и круг субъектов, персональные данные которых
подлежат обработке, а также определяющего полномочия оператора;
2) обработка ПДн осуществляется в целях исполнения договора, одной из
сторон которого является субъект персональных данных;
3) обработка ПДн осуществляется для статистических или иных научных целей
при условии обязательного обезличивания ПДн;
4) обработка ПДн необходима для защиты жизни, здоровья или иных жизненно
важных интересов субъекта ПДн, если получение согласия субъекта ПДн
невозможно;
5) обработка ПДн необходима для доставки почтовых отправлений…;
6) обработка ПДн осуществляется в целях профессиональной деятельности
журналиста либо в целях научной, литературной или иной творческой
деятельности при условии, что при этом не нарушаются права и свободы
субъекта ПДн;
7) осуществляется обработка ПДн, подлежащих опубликованию в
соответствии с федеральными законами...
40.
(ст. 7) 1. Операторами и третьими лицами, получающими доступ к ПДн,должна обеспечиваться конфиденциальность таких данных, за исключением:
1) в случае обезличивания персональных данных;
2) в отношении общедоступных персональных данных.
(ст. 19) 1. Оператор при обработке ПДн обязан принимать необходимые
организационные и технические меры, в том числе использовать шифровальные
(криптографические) средства, для защиты ПДн от неправомерного или
случайного доступа к ним, уничтожения, изменения, блокирования, копирования,
распространения ПДн, а также от иных неправомерных действий.
2. Правительство РФ устанавливает требования к обеспечению
безопасности ПДн при их обработке в ИСПДн, требования к материальным
носителям биометрических ПДн и технологиям хранения таких данных вне ИСПДн.
3. Контроль и надзор за выполнением требований, установленных
Правительством РФ в соответствии с частью 2 настоящей статьи, осуществляются
федеральным органом исполнительной власти, уполномоченным в области
обеспечения безопасности, и федеральным органом исполнительной власти,
уполномоченным в области противодействия техническим разведкам и
технической защиты информации, в пределах их полномочий и без права
ознакомления с персональными данными, обрабатываемыми в ИСПДн.
41.
1. Уполномоченным органом по защите прав субъектов ПДн, на который возлагаетсяобеспечение контроля и надзора за соответствием обработки ПДн требованиям ФЗ, является
федеральный орган исполнительной власти, осуществляющий функции по контролю и
надзору в сфере информационных технологий и связи.
3. Уполномоченный орган по защите прав субъектов ПДн имеет право:
3) требовать от оператора уточнения, блокирования или уничтожения недостоверных или
полученных незаконным путем персональных данных;
4) принимать в установленном законодательством Российской Федерации порядке
меры по приостановлению или прекращению обработки персональных данных,
осуществляемой с нарушением требований Федерального закона;
5) обращаться в суд с исковыми заявлениями в защиту прав субъектов ПДн и
представлять интересы субъектов персональных данных в суде;
6) направлять заявление в орган, осуществляющий лицензирование деятельности
оператора, для рассмотрения вопроса о принятии мер по приостановлению действия или
аннулированию соответствующей лицензии в установленном законодательством РФ порядке;
7) направлять в органы прокуратуры, другие правоохранительные органы материалы для
решения вопроса о возбуждении уголовных дел по признакам преступлений, связанных с
нарушением прав субъектов персональных данных, в соответствии с подведомственностью;
9) привлекать к административной ответственности лиц, виновных в нарушении
Федерального закона.
42.
В настоящее время Уполномоченным органом по защите правсубъектов персональных данных, назначаемым в соответствии со ст.
23 ФЗ «О персональных данных», является Федеральная служба по
надзору в сфере связи, информационных технологий и массовых
коммуникаций (Роскомнадзор), преобразованная из Федеральной
службы по надзору в сфере связи и массовых коммуникаций в
соответствии с указом Президента РФ от 3 декабря 2008 года
№ 1715.
Положение о Роскомнадзоре утверждено Постановлением
Правительства РФ от 16 марта 2009 г. № 228.
43.
Оператор до начала обработки ПДн обязан уведомить уполномоченныйорган по защите прав субъектов ПДн о своем намерении осуществлять
обработку ПДн, за исключением следующих случаев их обработки :
1) относящихся к субъектам ПДн, которых связывают с оператором трудовые
отношения;
2) полученных оператором в связи с заключением договора, если ПДн не
распространяются, а также не предоставляются третьим лицам без согласия
субъекта ПДн и используются оператором исключительно для исполнения
указанного договора и заключения договоров с субъектом ПДн;
3) относящихся к членам (участникам) общественного объединения или
религиозной организации;
4) являющихся общедоступными ПДн;
5) включающих в себя только фамилии, имена и отчества субъектов ПДн;
6) необходимых в целях однократного пропуска субъекта ПДн;
7) включенных в ИСПДн, имеющие в соответствии с федеральными законами
статус федеральных автоматизированных ИС;
8) обрабатываемых без использования средств автоматизации.
44.
Форма уведомления о намерении оператором осуществлятьобработку персональных данных и порядок её заполнения
установлены приказом Федеральной службы по надзору в сфере
связи и массовых коммуникаций (Россвязькомнадзор)
№ 8 от 17 июля 2008 г. с изменениями,
внесёнными приказом № 42 от 18 февраля 2009 г.
45.
10. Ответственность за нарушение требованийФедерального закона «О персональных данных» (ст. 24)
Лица, виновные в нарушении требований Федерального закона,
несут гражданскую, уголовную, административную,
дисциплинарную и иную предусмотренную законодательством
Российской Федерации ответственность.
11. Сроки реализации требований Федерального закона
«О персональных данных» (ст. 25)
После дня вступления в силу Федерального закона (27.01.2007)
обработка персональных данных, включенных в информационные
системы персональных данных до дня его вступления в силу,
осуществляется в соответствии с Федеральным законом.
Информационные системы персональных данных, созданные
до дня вступления в силу Федерального закона, должны быть
приведены в соответствие с требованиями настоящего
Федерального закона не позднее 1 января 2010 года.
46.
Задача обеспечения безопасности ПДн и обязанностьклассификации ИСПДн возлагается на оператора ИСПДн.
Работы по обеспечению безопасности ПДн должны являться
неотъемлемой частью работ по созданию ИСПДн.
Безопасность ПДн должна обеспечиваться с помощью создаваемой
оператором СЗПДн, включающей организационные меры и СЗИ (в том
числе шифровальные (криптографические) средства, средства
предотвращения несанкционированного доступа, утечки информации
по техническим каналам, программно-технических воздействий на
технические средства обработки персональных данных), а также
используемые в информационной системе информационные
технологии.
Средства защиты ПДн должны пройти оценку соответствия (во
ФСТЭК России или ФСБ России).
Достаточность принятых мер по обеспечению безопасности ПДн
оценивается при проведении государственного контроля и надзора.
47.
Мероприятия по обеспечению безопасности ПДн включают в себя:а) определение угроз безопасности ПДн и формирование на их
основе модели угроз и классификацию ИСПДн;
б) разработку СЗПДн;
в) проверку готовности СЗИ к использованию с составлением
заключений о возможности их эксплуатации;
г) установку и ввод в эксплуатацию СЗИ;
д) обучение лиц, использующих СЗИ, правилам работы с ними;
е) учет применяемых СЗИ, и документации к ним, носителей ПДн;
ж) учет лиц, допущенных к работе с ПДн в ИСПДн;
з) контроль за соблюдением условий использования СЗИ;
и) реагирование на нарушение режима защиты ПДн;
к) описание системы защиты ПДн.
48.
провести инвентаризацию ИР, обрабатываемых в ИС иопределить перечень обрабатываемых ПДн;
урегулировать правовые вопросы обработки (использования) ПДн
(уточнение правовых оснований обработки ПДн, получение согласия
субъектов на обработку, пересмотр (при необходимости)
договоров с субъектами, установление сроков обработки ПДн и
др.);
оформить и направить в территориальный орган
уполномоченного органа по защите прав субъектов ПДн
уведомление об обработке ПДн;
разработать модель угроз (на основании результатов
обследования ИСПДн);
провести классификацию ИСПДн с оформлением
соответствующего акта;
49.
получить при необходимости (для операторов ИСПДн 1 и 2класса) лицензию на деятельность по ТЗИ (согласно постановлению
Правительства РФ 2006 г. № 504);
определить требования по защите ПДн при их обработке в
ИСПДн в соответствии с присвоенным классом и результатами
моделирования угроз;
осуществить проектирование Системы защиты персональных
данных (СЗПДн);
реализовать проект на создание СЗПДн;
провести оценку соответствия ИСПДн требованиям безопасности
согласно присвоенному классу;
организовать эксплуатацию ИСПДн в соответствии с
требованиями безопасности и контроль соблюдения использования
СЗИ.
50.
Работы по обеспечению безопасности ПДн при их обработке вИСПДн являются неотъемлемой частью работ по созданию ИСПДн и
должны осуществляться в виде создаваемой системы (подсистемы)
защиты персональных данных (СЗПДн).
Перечень обязательных организационных и технических
мероприятий, направленных на обеспечение безопасности
персональных данных, для типовых систем определяется категорией
и объемом обрабатываемых в системе ПДн, а для специальных –
совокупностью актуальных угроз.
Мероприятия по обеспечению безопасности персональных данных должны
сочетать в себе реализацию правовых, организационных и технических мер
защиты, причем все они одинаково значимы, а невыполнение одних требований
сводит на нет результаты реализации других.
51.
Правовые основания обработки ПДн.Перечень и категории обрабатываемых персональных данных.
Категории субъектов персональных данных.
Перечень действий с персональными данными.
Дата начала обработки, срок или условие её прекращения.
Основания и порядок уничтожения персональных данных.
Форма согласия субъекта персональных данных на их
обработку.
Обязанности персонала при обработке персональных данных.
За основу может быть взято «Положение о персональных данных
государственного гражданского служащего Российской Федерации и
ведении его личного дела»
(Указ Президента Российской Федерации от 30 мая 2005 г. № 609)
52.
предпроектная стадия, включающая предпроектноеобследование ИСПДн, разработку технического
(частного технического) задания на ее создание;
стадия проектирования (разработки проектов) и
реализации ИСПДн, включающая разработку СЗПДн в
составе ИСПДн;
стадия ввода в действие СЗПДн, включающая опытную
эксплуатацию и приемо-сдаточные испытания средств
защиты информации, а также оценку соответствия
ИСПДн требованиям безопасности информации.
53.
устанавливается необходимость обработки ПДн в ИСПДн;определяется перечень ПДн, подлежащих защите;
определяются условия расположения ИСПДн относительно границ
контролируемой зоны (КЗ);
определяются конфигурация и топология ИСПДн в целом, и ее отдельных
компонент, физические, функциональные и технологические связи как внутри этих
систем, так и с другими системами различного: уровня назначения;
определяются технические средства и системы, предполагаемые к
использованию в разрабатываемой ИСПДн, условия их расположения,
общесистемные и прикладные программные средства, имеющиеся и:
предлагаемые к разработке;
определяются режимы обработки ПДн в ИСПДн в целом и в отдельных
компонентах;
определяется класс ИСПДн;
уточняется степень участия персонала в обработке ПДн, характер их
взаимодействия между собой;
определяются (уточняются) угрозы безопасности ПДн к конкретным условиям
функционирования (разработка частной модели угроз).
54.
Целью классификации ИСПДн является определение по еёрезультатам перечня организационных и технических мероприятий,
позволяющих выполнить требования по обеспечению безопасности
ПДн при их обработке в ИСПДн.
Проведение классификации ИСПДн обусловлено
необходимостью реализации дифференцированного подхода к
обеспечению безопасности ПДн в зависимости от объема
обрабатываемых ПДн и угроз безопасности им с целью
минимизации затрат на защиту информационных систем
персональных данных.
Классификация ИСПДн проводится операторами -государственными
органами, муниципальными органами, юридическими и физическими лицами,
организующими и (или) осуществляющими обработку ПДн, а также
определяющими цели и содержание обработки ПДн.
55.
Результаты классификации информационных системоформляются соответствующим актом оператора.
Пункт 18 Приказа №55/86/20
Для проведения классификации оператором ИСПДн
назначается внутренняя комиссия, в состав которой
включаются представители основных подразделений
организации осуществляющих сбор, обработку и
использование персональных данных, представители ITподразделения и службы безопасности (защиты
информации).
Акт классификации утверждается руководителем
организации.
56.
В Акте классификации необходимо привести с соответствующимобоснованием значения всех восьми классификационных признаков ИСПДн и
установленный класс ИСПДн:
1)
Категория обрабатываемых в информационной системе персональных
данных – Хпд.
2)
Объем обрабатываемых персональных данных (количество субъектов
персональных данных, персональные данные которых обрабатываются в
информационной системе) – Хнпд.
3)
Заданные оператором характеристики безопасности персональных данных,
обрабатываемых в ИС.
4)
Структура информационной системы.
5)
Наличие подключений информационной системы к сетям связи общего
пользования и (или) сетям международного информационного обмена.
6)
Режим обработки персональных данных.
7)
Режим разграничения прав доступа пользователей информационной
системы.
8)
Местонахождение технических средств ИСПДн.
57.
По результатам предпроектного обследования на основе РД ФСТЭК России сучетом установленного класса ИСПДн задаются конкретные требования по
обеспечению безопасности ПДн, включаемые в ТЗ (ЧТЗ) задание на разработку
СЗПДн.
ТЗ (ЧТЗ) должно содержать:
обоснование разработки СЗПДн;
исходные данные создаваемой (модернизируемой) ИСПДн в техническом,
программном, информационном и организационном: аспектах, класс ИСПДн;
ссылку на нормативные документы, с учетом которых будет разрабатываться
СЗПДн и приниматься в эксплуатацию ИСПДн;
конкретизацию мероприятий и требований к СЗПДн;
перечень предполагаемых к использованию сертифицированных СЗИ;
обоснование проведения разработок собственных средств защиты
информации при невозможности или нецелесообразности использования
имеющихся на рынке сертифицированных средств защиты информации;
состав, содержание и сроки проведения работ по этапам разработки и
внедрения СЗПДн.
58.
ИСПДнАнализ ИД об
ИСПДн
1.
2.
3.
4.
Внесение изменений:
Сегментирование ИСПДн.
Локализация мест
хранения ПДн.
Сокращение категорий и
объема ПДн.
Обезличивание ПДн и др.
Формирование
модели угроз
Определение
класса ИСПДн
нет
Анализ
реализуемости
требований
Предварит.
набор
требований
РД по ОБ ПДн
Окончательный
набор
требований
да
59.
максимальное использование возможностей уже имеющихся в ИС средствзащиты информации, а также возможностей ОС и прикладного ПО,
сертифицированных или имеющих перспективы сертификации в системах
сертификации ФСТЭК России или ФСБ России;
принятие дополнительных мер, позволяющих снизить требования к части
ИСПДн или сегментам сети, где такие ИСПДн расположены;
сокращение количества персонала (АРМ), обрабатывающих ПДн,
разделение функций, минимизирующее возможность одновременной
обработки ПДн из разных систем;
обезличивание части ИСПДн (переход на абонентские и табельные номера,
номера лицевых счетов и т.п.);
разделение ИС сертифицированными межсетевыми экранами на отдельные
сегменты (ИСПДн), классификация каждого сегмента (ИСПДн) и снижения
требований к части из них;
организация терминального доступа к ИСПДн;
исключение из ИСПДн части ПДн, хранение их на бумажных или иных
носителях вне ИСПДн.
60.
Мероприятия по обеспечению безопасности ПДн определяютсяна основе РД ФСТЭК России и реализуются в рамках следующих
подсистем СЗПДн:
управления доступом
регистрации и учёта
обеспечения целостности
криптографической защиты
антивирусной защиты
обнаружения вторжений
защиты от утечки за счёт ПЭМИН (для ИС 1 и 2 классов)
Конкретный состав мероприятий по защите ПДн в рамках каждой
подсистемы определяется в зависимости от класса ИСПДн и результатов
моделирования угроз, а также результатов обследования ИСПДн.
61.
разработка раздела, технического проекта на ИСПДн в части защиты информации;монтажные работы в соответствии с проектной документацией;
разработка мероприятий по защите информации в соответствии с
предъявляемыми требованиями;
использование сертифицированных технических, программных и программнотехнических средств защиты информации и их установка;
сертификация по требованиям безопасности информации программных средств
защиты информации в случае, когда на рынке отсутствуют; требуемые
сертифицированные средства защиты информации;
разработка и реализация разрешительной системы доступа пользователей к
обрабатываемой на ИСПДн информации;
определение подразделений и назначение лиц, ответственных за эксплуатацию
средств защиты информации с их обучением по направлению обеспечения
безопасности ПДн;
разработка эксплуатационной документации на ИСПДн и средства защиты
информации, а также, организационно-распорядительной документации по защите
информации (приказов, инструкций и других документов);
выполнение других мероприятий, характерных для конкретных ИСПДн и
направлений обеспечения безопасности ПДн.
62.
Средства защиты информации, применяемые винформационных системах, в установленном
порядке проходят процедуру оценки соответствия.
П. 5 «Положения …» .
В настоящее время в составе СЗПДн должны
использоваться сертифицированные СЗИ,
рекомендованные для защиты ПДн и включённые в
Государственный реестр СЗИ (www.fstec.ru).
63.
в системах, являющихся комплексами автоматизированных рабочих мест и(или) локальных информационных систем, объединенных в единую
информационную систему средствами связи. Необходимость
криптографической защиты информации возникает при передаче информации
в среду, в которой она может оказаться доступной нарушителю, например незащищенные от несанкционированного доступа средства хранения
информации и каналы связи;
в системах, являющихся многопользовательскими, в которых в соответствии с
моделью угроз введено разграничение прав доступа пользователей и возможно
наличие инсайдера, а безопасность хранения и обработки не может быть
гарантированно обеспечена другими средствами;
в государственных информационных системах, в которых в соответствии с
Федеральным законом № 149-ФЗ от 27 июля 2006 г. «Об информации,
информационных технологиях и о защите информации» требования о
криптографической защите информации устанавливаются ФСБ России.
Решение о необходимости обеспечения безопасности персональных данных
с использованием криптосредств принимается оператором
64.
установка прикладных программ в комплексе спрограммными средствами защиты информации;
опытная эксплуатация средств защиты информации в
комплексе с другими техническими и программными
средствами в целях проверки их работоспособности в составе
ИСПДн и отработки ПДн;
приемо-сдаточные испытания средств защиты, информации
по результатам опытной эксплуатации;
организация охраны и физической защиты помещений
ИСПДн, исключающих несанкционированный доступ к
техническим средствам ИСПДн, их хищение и нарушение
работоспособности, хищение носителей информации;
оценка соответствия ИСПДн требованиям безопасности ПДн.
65.
Устанавливается следующий порядок оценки ИСПДнтребованиям безопасности:
ИСПДн 1 и 2 класса и специальных ИСПДн – обязательная
сертификация (аттестация)
ИСПДн 3 класса – декларирование соответствия или обязательная сертификация (аттестация) (по решению оператора);
ИСПДн 4 класса – оценка проводится по решению оператора
Аттестация ИСПДн – официальное подтверждение наличия на
объекте защиты необходимых и достаточных условий, обеспечивающих
выполнение установленных требований руководящих документов по
защите ПДн.
66.
Общий порядок проведения аттестации объектовинформатизации, установлен следующими нормативными
документами ФСТЭК России:
Положение по аттестации объектов информатизации по
требованиям безопасности информации, утвержденное
председателем Гостехкомиссии России 25 ноября 1994 г.
Специальные требования и рекомендации по технической
защите конфиденциальной информации (СТР-К). Утверждены
приказом Гостехкомиссии России от 30.08.2002 г. № 282.
Правом проведения аттестации и выдачи аттестата соответствия
обладают организации, имеющие лицензию на право оказания
услуг по технической защите конфиденциальной информации в
соответствии с Постановлением Правительства РФ 2006 г. № 504.
67.
Положение по организации и проведению работ по обеспечениюбезопасности ПДн при их обработке в ИСПДн.
Модель угроз безопасности персональных данных.
Акт классификации ИСПДн.
Заключение о возможности эксплуатации средств защиты информации
(разрабатывается по результатам проверки готовности к использованию СЗИ)
(Аналог приёмо-сдаточной документация на СЗИ)
Перечень применяемых средств защиты информации.
Описание системы защиты персональных данных.
Список лиц, доступ которых к персональным данным, обрабатываемым в
информационной системе, необходим для выполнения служебных (трудовых)
обязанностей (утверждается оператором или уполномоченным лицом).
Правила пользования средствами защиты информации,
предназначенными для обеспечения безопасности персональных данных.
Требования по обеспечению безопасности ПДн при их обработке в ИСПДн.
Должностные инструкции персоналу ИСПДн в части обеспечения
безопасности ПДн при их обработке в ИСПДн.
Рекомендации (инструкции) по использованию программных и аппаратных
средств защиты информации.
68.
Порядок привлечения подразделений организации,специализированных сторонних организаций к разработке и
эксплуатации ИСПДн и СЗИ, их задачи и функции на
различных стадиях создания и эксплуатации ИСПДн и её
СЗПДн;
Порядок взаимодействия всех занятых в этой работе
организаций, подразделений и специалистов;
Порядок разработки, ввода в действие и эксплуатацию
ИСПДн (объектов информатизации, входящих в её состав);
Ответственность должностных лиц за своевременность и
качество формирования требований по защите
информации, за качество и научно-технический уровень
разработки СЗПДн.
69.
Обеспечение контроля и надзора за соответствиемобработки персональных данных требованиям
Федерального закона возлагается на федеральный орган
исполнительной власти, осуществляющий функции по
контролю и надзору в сфере информационных технологий и
связи (Роскомнадзор).
(Ст. 23, ч. 1 ФЗ № 152)
Контроль и надзор за выполнением технических
требований по защите ПДн осуществляются ФСБ России и
ФСТЭК России в пределах их полномочий и без права
ознакомления с персональными данными,
обрабатываемыми в ИСПДн.
(Ст. 19, ч. 3 ФЗ № 152)
70.
Достаточность принятых мер по обеспечению безопасностиперсональных данных при их обработке в информационных
системах оценивается при проведении государственного контроля
и надзора.
(П. 3 «Положения..» (Постановление Правительства РФ 2007г. №
781)
Порядок осуществления государственного контроля и надзора
будет установлен специальным нормативным актом «Порядком
осуществления контроля и надзора за соблюдением требований
законодательства РФ в области защиты персональных данных»,
вводимым в действие совместным приказом Минкомсвязи России,
ФСБ Росси и ФСТЭК России.
Ориентировочный срок введения в действия – 2-3 кв.2009 г.