Семинар "Выполнение требований законодательства о персональных данных"

Выполнение требований законодательства о
персональных данных

2
Виды информации ограниченного доступа:

1. Государственная тайна (Закона РФ от 21.07.93 № 5485-1 «О гос. тайне»)
2. Коммерческая тайна (ФЗ от 29.07.04 № 98-ФЗ «О комм. тайне»)
3. Персональные данные (ФЗ от 27.07.06 № 152-ФЗ «О перс. данных»)
4. Служебная тайна (возможно будет введён, в наст. время ФЗ отсутствует)
5. Налоговая тайна
6. Банковская тайна
7. Врачебная тайна
8. Нотариальная тайна
9. Адвокатская тайна
10. Аудиторская тайна
11. Тайна страхования
12. Тайна связи (ст. 53 и 63 от 07.07.2003 № 126-ФЗ «О связи»)
13. Личная, семейная тайна
И другие виды информации ограниченного доступа.

«Выполнение требований законодательства о
персональных данных». 5 апреля 2012 г.

Информация с ограниченным доступом, не содержащая сведений, составляющих
3
государственную тайну (информация конфиденциального характера)
(Указ Президента РФ от 6 марта 1997 г. № 188)
Персональные данные - любая информация, относящаяся к прямо или Закон Требования
косвенно определенному или определяемому физическому лицу (субъекту
персональных данных); есть есть
Федеральный закон ст. 3 п.1 от 27 07. 2006 г. №152-ФЗ
Коммерческая тайна - конфиденциальность информации, позволяющая ее обладателю
при существующих или возможных обстоятельствах увеличить доходы, избежать
неоправданных расходов; информация, …. которая имеет действительную или есть есть
потенциальную коммерческую ценность в силу неизвестности ее третьим лицам, к
которой нет свободного доступа на законном основании и в отношении которой
обладателем такой информации введен режим коммерческой тайны;

Служебная тайна - сведения, доступ к которым ограничен органами государственной
власти в соответствии с Гражданским кодексом Российской Федерации и федеральными
законами. Указ Президента РФ 97 г № 188. Защищаемая по закону конфиденциальная
информация, ставшая известной в государственных органах и органах местного нет нет
самоуправления только на законных основаниях и в силу исполнения их представителями
служебных обязанностей, а также служебная ин формация о деятельности
государственных органов, доступ к которой ограничен федеральным законом или в силу
служебной необходимости (по ГОСТ Р 51583), упоминается в ФЗ-от 27.07.2006 №149.

Профессиональная тайна - информация, полученная гражданами (физическими
лицами) при исполнении ими профессиональных обязанностей или организациями при
осуществлении ими определенных видов деятельности Ст. 9 п. 5 ФЗ от 27.07 2006 № 149.. нет нет
Объекты ПТ: врачебная тайна, тайна связи, тайна переписки, телефонных
переговоров, иных сообщений, нотариальная тайна, адвокатская тайна, тайна
усыновления, тайна страхования, тайна исповеди. К ПТ не относится коммерческая и
государственная.

Статья 3. Основные понятия, используемые в настоящем Федеральном 4

законе

Персональные данные - любая информация, относящаяся к прямо или
косвенно определенному или определяемому физическому лицу (субъекту
персональных данных)

Обработка персональных данных - любое действие (операция) или
совокупность действий (операций), совершаемых с использованием средств
автоматизации или без использования таких средств с персональными
данными, включая
сбор, запись, систематизацию, накопление, хранение, уточнение
(обновление, изменение), извлечение, использование, передачу
(распространение, предоставление, доступ), обезличивание, блокирование, уд
аление, уничтожение персональных данных

Автоматизированная обработка персональных данных - обработка
персональных данных с помощью средств вычислительной техники


Статья 6. Условия обработки персональных данных 6

Условия обработки Персональных данных
Обработка ПДн … с согласия субъектов;
Согласия субъектов ПДн не требуется в случаях:
обработка ПДн осуществляется на основании федерального закона, устанавливающего ее цель, условия получения
ПДн и круг субъектов, ПДн которых подлежат обработке, а также определяющего полномочия оператора;

обработка ПДн осуществляется в целях исполнения договора, одной из сторон которого является субъект ПДн;

обработка ПДн осуществляется для статистических или иных научных целей при условии обязательного
обезличивания ПДн ;

обработка ПДн необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта ПДн
, если получение согласия субъекта ПДн невозможно;

обработка ПДн необходима для доставки почтовых отправлений организациями почтовой связи, для
осуществления операторами электросвязи расчетов с пользователями услуг связи за оказанные услуги связи, а
также для рассмотрения претензий пользователей услугами связи .

обработка ПДн необходима для доставки почтовых отправлений организациями почтовой связи, для
осуществления операторами электросвязи расчетов с пользователями услуг связи за оказанные услуги связи, а
также для рассмотрения претензий пользователей услугами связи .

обработка ПДн данных осуществляется в целях профессиональной деятельности журналиста либо в целях
научной, литературной или иной творческой деятельности при условии, что при этом не нарушаются права и
свободы субъекта ПДн ;

осуществляется обработка персональных данных, подлежащих опубликованию в соответствии с федеральными
законами, в том числе персональных данных лиц, замещающих государственные должности, должности
государственной гражданской службы, персональных данных кандидатов на выборные государственные или
муниципальные должности.

Письменное согласие субъекта персональных данных 7

Письменное согласие субъекта персональных данных на обработку своих персональных
данных должно включать в себя:
1) фамилию, имя, отчество, адрес субъекта персональных данных, номер основного
документа, удостоверяющего его личность, сведения о дате выдачи указанного
документа и выдавшем его органе;
2) наименование (фамилия, имя, отчество) и адрес оператора, получающего согласие
субъекта персональных данных;
3) цель обработки персональных данных;
4) перечень персональных данных, на обработку которых дается согласие субъекта
персональных данных;
5) перечень действий с персональными данными, на совершение которых дается
согласие, общее описание используемых оператором способов обработки
персональных данных;
6) срок, в течение которого действует согласие, а также порядок его отзыва.

Для обработки персональных данных, содержащихся в согласии в письменной форме
субъекта на обработку его персональных данных, дополнительное согласие не
требуется.


Уведомление об обработке персональных данных (ст.22) 8

Оператор до начала обработки персональных данных обязан уведомить
уполномоченный орган по защите прав субъектов персональных данных о своем
намерении осуществлять обработку персональных данных, за исключением случаев
обработки таких данных:
относящихся к субъектам персональных данных, которых связывают с оператором трудовые
отношения

полученных оператором в связи с заключением договора, стороной которого является субъект
персональных данных, если персональные данные не распространяются, а также не
предоставляются третьим лицам без согласия субъекта персональных данных и используются
оператором исключительно для исполнения указанного договора и заключения договоров с
субъектом персональных данных

являющихся общедоступными персональными данными

включающих в себя только фамилии, имена и отчества субъектов персональных данных

необходимых в целях однократного пропуска субъекта персональных данных на территорию, на
которой находится оператор, или в иных аналогичных целях

необходимых в целях однократного пропуска субъекта персональных данных на территорию, на
которой находится оператор, или в иных аналогичных целях

включенных в информационные системы персональных данных, имеющие в соответствии с
федеральными законами статус федеральных автоматизированных информационных систем, а
также в государственные информационные системы персональных данных, созданные в целях
защиты безопасности государства и общественного порядка

обрабатываемых без использования средств автоматизации

Основные элементы государственной системы 9

ПРОВЕРКИ
(контроль и

Федеральная служба по надзор)

надзору в сфере
Уполномоченный орган по защите прав
связи, информационных субъектов персональных данных
технологий и массовых
коммуникаций
(Роскомнадзор)
ПРОВЕРКИ
в ТРЕБОВАНИЯ
гос.инф.сист ПО ЗАЩИТЕ
. ПДн

Федеральная служба по Федеральный орган исполнительной власти,
уполномоченный в области противодействия
техническому и экспортному техническим разведкам и технической защиты
контролю России информации

ТРЕБОВАНИЯ +
КОНТРОЛЬ И НАДЗОР
(в части криптографии/
средств шифрования
информации)

Федеральный орган исполнительной власти,
Федеральная служба
уполномоченный в области обеспечения
безопасности России безопасности


Контроль и надзор за выполнением требований ФЗ «О персональных 10

данных» Задачи Роскомнадзора

Обеспечение контроля и надзора за соответствием обработки персональных данных
требованиям Федерального закона «О персональных данных»

Ведение реестра операторов, осуществляющих обработку персональных данных.
Рассмотрение обращений субъектов персональных данных, а также принятие в
пределах своих полномочий решений по результатам их рассмотрения.
Подготовка предложений по совершенствованию нормативно-правового
регулирования в области защиты прав субъектов персональных данных.

Видами проверок
в соответствии с ФЗ N 294-ФЗ «О защите прав юридических лиц и индивидуальных
предпринимателей при осуществлении государственного контроля (надзора) и муниципального
контроля» являются плановые, внеплановые, документарные, выездные.

Основаниями для проведения проверок являются:
Ежегодный план проверок операторов персональных данных со сведениями, определяемыми
ч. 4. ст. 9 ФЗ-294, который должен размещаться на сайте РОСКОМНАДЗОРА.
Истечение срока исполнения оператором ранее выданного предписания об устранении нарушений.
Поступлений в РОСКОМНАДЗОР обращений и заявлений о фактах нарушений законодательства.


АДМИНИСТРАТИВНЫЙ РЕГЛАМЕНТ 11
проведения проверок Роскомнадзором
(Утвержден приказом от 1.12.2009 г. № 630)

Основание для включения оператора в план проверок (п. 22 Регламента):
Основанием для включения плановой проверки в План является начало
осуществления Оператором деятельности по обработке персональных
данных, а также истечение трех лет со дня:
- государственной регистрации Оператора в качестве юридического
лица, индивидуального предпринимателя;
- окончания проведения последней плановой проверки Оператора.

Таким образом, включить в план проверок могут практически любую
организацию, либо предпринимателя, осуществляющего обработку
персональных данных.

С планом проверок на 2012 год можно ознакомиться на сайте Роскомнадзора
по ссылке http://www.rsoc.ru/plan-and-reports/contolplan/


12
Контроль и надзор за выполнением технических требований по обеспечению
безопасности персональных данных

• Задача контроля и надзора за выполнением технических требований по
обеспечению безопасности персональных данных возложена на федеральный
орган исполнительной власти, уполномоченным в области обеспечения
безопасности (ФСБ России), и федеральный орган исполнительной
власти, уполномоченный в области противодействия техническим разведкам и
технической защиты информации (ФСТЭК России), в пределах их полномочий
и без права ознакомления с персональными данными, обрабатываемыми в
информационных системах персональных данных.

(ФЗ-152 «О персональных данных» пп. 5.1, 6 ч. 1 ст. 23, п. 5 ч. 5 ст. 23)

В настоящее время разрабатывается совместное положение
Роскомнадзора, ФСТЭК России и ФСБ России, определяющее порядок проведения
комплексного контроля и надзора за деятельностью операторов, связанной с
обработкой персональных данных.


Ответственность за нарушение требований Федерального закона 13

«О персональных данных»

Статья 24.
Лица, виновные в нарушении требований настоящего
Федерального закона, несут предусмотренную
законодательством Российской Федерации ответственность.


Риски неисполнения требований законодательства по защите персональных
15

данных

Неисполнение требований Закона «О персональных данных» влечет для
организации риски следующего характера:

Гражданские иски со стороны клиентов или работников.
Приостановление или прекращение обработки персональных данных в
организации.
Привлечение организации и (или) ее руководителя к
административной, уголовной, гражданской, дисциплинарной и иным видам
ответственности.
Приостановление действия или аннулирование лицензий на основной вид
деятельности организации.
Репутационные риски.
Риски недобросовестной конкуренции (приостановления деятельности
организации с подачи конкурентов при имеющихся нарушениях правил
защиты персональных данных).


16
Основные нормативные правовые акты, нормативные и методические
документы, в области ЗИ ПДн
1. Федеральный закон от 27.07.06 г. № 152 «О персональных данных».
2. Указ Президента Российской Федерации от 17.03.08 г. № 351 «О мерах по обеспечению
информационной безопасности российской Федерации при использовании информационно-
телекоммуникационных сетей международного информационного обмена» (в ред. Указа Президента
РФ от 21.10.08 г. № 1510).
3. Положение об обеспечении безопасности персональных данных при их обработке в информационных
системах персональных данных (Утверждено Постановлением Правительства РФ от 17.11.07 г. № 781).
4. Положение об особенностях обработки персональных данных, осуществляемой без использования
средств автоматизации (Утверждено Постановлением Правительства РФ от 15.09.08 г. № 687).
5. Специальные требования и рекомендации по технической защите конфиденциальной информации
(Утверждены приказом Гостехкомиссии России от 30.08.02 г. № 282).
6. Об утверждении образца формы уведомления об обработке персональных данных (приказ
Россвязьохранкультуры от 13.05.08 г. № 340).
7. Об утверждении Порядка проведения классификации информационных систем персональных данных
(приказ Федеральной службы по техническому и экспортному контролю (ФСТЭК России), Федеральной
службы безопасности Российской Федерации (ФСБ России), Министерства информационных
технологий и связи Российской Федерации (Мининформсвязи России) от 13.02.08 г. № 55/86/20 г.
Москва).
8. Приказ ФСТЭК России от 05.02.2008 г. № 58 «Об утверждении положения «О методах и способах
защиты информации в информационных системах персональных данных»


17
Проблемы реализации требований нормативных правовых актов в области
защиты персональных данных

Проблемы правового характера в связи с неоднозначностью положений ФЗ «О
персональных данных», затратными, противоречивыми механизмами его
реализации.

Организационные проблемы, связанные с ограниченными правами
Роскомнадзора, ограниченными ресурсами операторов персональных данных и
ограниченным потенциалом лиценциатов, оказывающих услуги по их защите.

Финансовые проблемы, связанные с отсутствием бюджетного финансирования
органов государственной власти, местного самоуправления и бюджетных
организаций.


Основания для осуществления классификации информационных 18
18
систем персональных данных

ПОЛОЖЕНИЕ п. 6. Информационные системы (ИС)
об обеспечении классифицируются операторами в зависимости от
безопасности объема обрабатываемых ими персональных данных
персональных данных (ПДн) и угроз безопасности жизненно важным
при их обработке в ИС интересам личности, общества и государства
(постановление Классификация ИС проводится оператором с целью
Правительства РФ от 17. установления методов и способов защиты
11. 2007 № 781) информации, необходимых для обеспечения
безопасности ПДн

Порядок проведения классификации ИС
устанавливается совместно ФСТЭК России, ФСБ
России, Мининформсвязи России

ПОРЯДОК проведения классификации ИС персональных данных
(приказ № 55/86/20 от 13.02.2008)

19
19
Типы информационных систем персональных данных и характеристики безопасности

Типовые информационные системы
Специальные информационные системы
Информационные •ИС, в которых обрабатываются персональные
системы данные, касающиеся состояния здоровья субъектов
персональных персональных данных
данных
•ИС, в которых предусмотрено принятие решений на
основании исключительно автоматизированной обработки

структура информационной системы
наличие подключений информационной системы к внешним
Характеристики общедоступным сетям
безопасности
режим обработки персональных данных
персональных
данных режим разграничения прав доступа пользователей
информационной системы
местонахождение технических средств ИС


20
Типы информационных систем персональных данных 20

автоматизированные
рабочие места
(автономные)

локальные
информационные
системы

распределенные
информационные
системы


21
21
Категории обрабатываемых в ИС персональных данных

Х пд ПДн, касающиеся расовой, национальной
Категория 1 принадлежности, политических
взглядов, религиозных и философских
убеждений, состояния здоровья, интимной жизни

ПДн, позволяющие идентифицировать субъекта
Категория 2 персональных данных и получить о нем
дополнительную информацию

ПДн, позволяющие идентифицировать субъекта
Категория 3

Категория 4 обезличенные и (или) общедоступные ПДн


22
22
Объем обрабатываемых персональных данных

Х нпд
в ИС одновременно обрабатываются персональные данные более
чем 100 000 субъектов персональных данных или персональные
1 данные уровня:

•субъект РФ •Российская Федерация

в ИС одновременно обрабатываются персональных данные от 1000
до 100 000 субъектов ПДн или персональные данные уровня:
2
•отрасль экономики РФ •муниципальное образование

•орган государственной власти РФ

в информационной системе одновременно обрабатываются
3 данные менее чем 1000 субъектов персональных данных или
персональные данные уровня:
•конкретная организация


Алгоритм классификации типовых информационных систем 23
23

ХпдХнпд 3 2 1
4 категория К4 К4 К4
Определение объема
3 категория К3 К3 К2 обрабатываемых в ИС
2 категория К3 К2 К1 персональных данных
(Xнпд = 1…3)
1 категория К1 К1 К1

Определение категории
обрабатываемых в ИС Определение класса ИСПДн
(Xпд = 1…4)

Акт оператора


Классы информационных систем персональных данных 24
24

Описание класса

ИС, для которых нарушение заданной характеристики безопасности
Класс 1 (К1) ПД, обрабатываемых в них, может привести к значительным
негативным последствиям для субъектов ПДн

Класс 2 (К2) ПД, обрабатываемых в них, может привести к негативным
последствиям для субъектов ПДн

Класс 3 (К3) ПД, обрабатываемых в них, может привести к незначительным
негативным последствиям для субъектов ПДн

Класс 4 (К4) ПД, обрабатываемых в них, не приводит к негативным
последствиям для субъектов ПД


25
Методы снижения класса ИСПДн

По результатам анализа исходных данных класс специальной информационной системы
определяется на основе модели угроз безопасности персональных данных согласно
методическим документам, разрабатываемых в соответствии с пунктом 2 постановления
Правительства Российской Федерации от 17 ноября 2007 г. N 781 "Об утверждении
Положения об обеспечении безопасности персональных данных при их обработке в
информационных системах персональных данных".
В случае выделения в составе информационной системы подсистем, каждая из которых
является информационной системой, информационной системе в целом присваивается
класс, соответствующий наиболее высокому классу входящих в нее подсистем.

Результаты классификации информационных систем оформляются соответствующим актом
оператора.

Класс информационной системы может быть пересмотрен:
по решению оператора на основе проведенных им анализа и оценки угроз безопасности
персональных данных с учетом особенностей и (или) изменений конкретной
информационной системы;
по результатам мероприятий по контролю за выполнением требований к обеспечению
безопасности персональных данных при их обработке в информационной системе.


26
Методы снижения класса ИСПДн

Исключение из обработки в ИСПДн предприятия персональных данных 1
категории, либо использование для их обработки отдельной ИСПДн

Разделение ПДн по категориям и целям их обработки с выделением в особые зоны
хранения и обработки ПДн, определяющих итоговое значение коэффициента Хпдн
Обезличивание ПДн с выводом информации, позволяющей установить однозначную
связь между субъектом ПДн и его персональными данными.для хранения и обработки в
специально выделенные ИСПДн

Физическое разделение ИСПДн на части при отсутствии производственной
необходимости объединения происходящих процессов обработки в случаях, когда такое
объединение приводит к изменению значения Хпдн от 1 к 2 или от 2 к 3.

Логическое разделение (включая локализацию хранения ПДн) ИСПДн на сегменты с
применением сертифицированных средств межсетевого экранирования, обеспечивающее
технологический процесс хранения и обработки ПДн, разделяемых по признакам
объема, территориальной либо отраслевой принадлежности, когда такое разделение
сопровождается соответствующим изменением объема ПДн и значения коэффициента
Хпдн


Субъекты и объекты защиты информации конфиденциального характера 27

Техническая защита конфиденциальной информации - защита информации не
криптографическими методами, направленными на предотвращение утечки защищаемой
информации по техническим каналам, от несанкционированного доступа к ней, от специальных
воздействий на информацию в целях ее уничтожения, искажения и блокирования (СТР-К)

Объекты информатизации:
ИС, в т.ч. программные средства, в
Субъекты Что которых обрабатывается и
деятельности по хранится информация, на доступ к
подлежит которой установлены ограничения
защите
конфиденциальной
защите федеральными законами, средства
защиты
информации информации, общедоступная
информация
Органы
От утечки по техническим
власти, уполномоче
каналам, неправомерного
нные органы От каких доступа, уничтожения, модифицир
власти, организации
угроз ования, блокирования, копировани
, обрабатывающие
я, предоставления, распространен
информацию на
ия, а также от иных
объектах
неправомерных действий.
информатизации, ор
ганизации -
Комплекс
лицензиаты Как правовых, организационных и
защищать технических мер


28
Порядок классификации ИСПДн и обоснования требований к системе
защиты персональных данных

28

29

Информационные
Программные средства, средства
ресурсы, средства и системы
защиты
информатизации (СВТ, АС
информации, используемые для
различного уровня), средства и
обработки конфиденциальной
системы связи и передачи
информации
данных

ОБЪЕКТЫ
ЗАЩИТЫ

Технические средства и системы не
обрабатывающие непосредственно
Защищаемые помещения конфиденциальную
информацию, но размещенные в
помещениях, где она
обрабатывается


30
ОСНОВНЫЕ НАПРАВЛЕНИЯ ЗАЩИТЫ ИНФОРМАЦИИ

Обеспечение защиты информации от
хищения, утраты, утечки, уничтожения, искажения, п
одделки и блокирования доступа к ней за счет НСД и
специальных воздействий

Обеспечение защиты информации от утечки по
техническим каналам при ее обработке, хранении и
передаче по каналам связи


31
Содержание этапов работ по созданию (совершенствованию) системы защиты
информации органа власти (организации)

Определение объекта защиты, объектов защиты информации, анализ потоков и хранилищ
информации, каналов связи, оценка последствий (ущерба) в случае утечки информации или
нарушений в работе ИС , содержащих информацию, отнесенную федеральными законами к
информации ограниченного доступа)
Оценка масштаба основных работ, обоснование их необходимости, определение
основных требований, предварительная оценка стоимости, выбор исполнителя работ,

Определение требований к
Концепция (политика) защиты
системе ЗИ, замысла на ее
создание (совершенствование) информации

Техническое задание на разработку
Выработка решения системы ЗИ (информационной
системы с разделом по ЗИ)

Программа создания
Планирование работ (совершенствования) системы ЗИ
(план работ)

Аттестаты соответствия объектов
Проведение работ и ввод информатизации, сертификаты
объектов в эксплуатацию средств защиты, акт о приемке, приказ
о вводе

32

Алгоритм создания системы ТЗИ на объекте информатизации

Обоснование Формулирование Разработка
Оценка требований задач ТЗИ замысла или
обстановки по защите концепции
информации ТЗИ

Проведение
Решение вопросов Выбор способов
НИОКР по Планирование
управления и (мер и средств)
разработке ТЗИ
обеспечения ТЗИ ТЗИ
СТЗИ

Привлечение подразделений Разработка Развертывание и
организации, специализированны документации ввод в опытную
х сторонних организаций к по вопросам эксплуатацию
разработке и развертыванию организации системы ТЗИ
системы ТЗИ системы ТЗИ


33
ОСНОВНЫЕ МЕРЫ ПО ЗАЩИТЕ ИНФОРМАЦИИ

Документальное оформление перечня сведений конфиденциального
характера, в том числе с учетом ведомственной и отраслевой специфики этих
сведений

Реализация разрешительной системы допуска исполнителей к информации и
связанным с ее использованием работам, документам

Ограничение доступа персонала и посторонних лиц в ЗП и помещения, где
размещены средства информатизации и коммуникационное оборудование, а
также хранятся носители информации
Разграничение доступа пользователей и обслуживающего персонала к
информационным ресурсам, программным средствам обработки (передачи)
и защиты информации
Регистрация действий пользователей АС и обслуживающего
персонала, контроль несанкционированного доступа и действий
пользователей, обслуживающего персонала и посторонних лиц

34

ОСНОВНЫЕ МЕРЫ ПО ЗАЩИТЕ ИНФОРМАЦИИ

Учет и надежное хранение бумажных и машинных носителей
конфиденциальной информации и их обращение, исключающее
хищение, подмену и уничтожение
Использование сертифицированных по требованиям безопасности
информации специальных защитных знаков, создаваемых на основе физико-
химических технологий для контроля доступа к объектам защиты и для
защиты документов от подделки
Резервирование технических средств, дублирование массивов и носителей
Использование сертифицированных серийно выпускаемых в защищенном
исполнении технических средств обработки, передачи и хранения
Использование технических средств, удовлетворяющих требованиям
стандартов по электромагнитной совместимости


35
Меры и средства защиты от НСД с применением программных и
программно-аппаратных средств

Организационно-технические Технические меры защиты
меры и средства защиты
Программные Дополнительные программные
Резервное копирование средства ОС средства

Изолирование Средства блокирования Криптографи Средства Другие
участков оперативной исследования, модификации и ческие защиты от средства
памяти несанкционированного запуска средства ПМВ защиты
Уничтожение
остаточных данных Средства предупреждения
пользователей о выполнении
Контроль Абонентского Средства Средства
опасных действий шифрования
целостности данных контроля тестирования
Программные средства целостности сетей и
и программ Пакетного
администрирования Специальные программ
Смена паролей шифрования
(разграничения Шифрования средства Средства
Ограничения на полномочий, регистрации и обнаружения обнаружения
паролей
использование сетевых контроля) вредоносных атак
сервисов, служб, сетевы Программные средства Стеганографии программ и
х идентификации и ЭЦП «лечения» Межсетевые
протоколов, сценариев аутентификации Средства экраны
Программные средства VPN- тестирования
резервного копирования технологии Утилиты для
восстановления
Отечественные системы CryptonSoft (для абонентского шифрования и информации
ЭЦП), CryptonSign (для ЭЦП), CryptonArcMail (для защиты электронных

36
Меры и средства защиты от ПМВ (вирусов)

Организационно-технические меры Программно-аппаратные средства

Архивирование данных и файлов Универсальные Резидентные

Применение лицензионного Специализированные Нерезидентные
программного обеспечения

Профилактическая проверка Фаги, полифа
администратором программ и ги
файлов на наличие вредоносных На основе контрольного
программ Ревизоры суммирования
(сканеры) На основе анализа
Отключение дисководов гибких
сигнатур
дисков, применение только
По изменению
зарегистрированных дискет файлов, каталогов
Организация спецпроверок
По изменению системных
областей
Программные
Сообщающие о ПМВ Средства
Иммунизаторы блокирования
Блокирующие ПМВ Программно-аппаратные


37

Меры и средства защиты информации от техногенных угроз

Организационно-технические Технические

При проектировании При создании При эксплуатации

Привлечение Выбор места Своевременное Меры защиты от Защита информации от
случайного Э/М угроз сбоя в работе
разработчиков расположения техобслуживание
воздействия аппаратуры
необходимой ОИ
квалификации
Правильное Соблюдение и
расположение контроль Программные Аппаратные Комплексные
Ориентация на
более надежную ОТСС и ВТСС требуемого режима
аппаратуру и функционирования Резервное
Строгое Резервирование Средства
детали копирование
соблюдение ОТСС и ВТСС сигнализации, п
Организация редупреждения и
Проектирование технологической Дублирование Резервировани
резервирования оповещения
избыточных дисциплины носителей е линий
информационных и
элементов и Проведение технических э/питания Средства и
структур ресурсов Программы комплексы
полного цикла Сетевые
профилактиче функционального
испытаний и фильтры
Обеспечение ского контроля
тестирования Обучение персонала
полноты и обслуживания
правилам
качества Применение эксплуатации и Стабилитроны
Программы
технической лицензионного обеспечения восстановлен Автономные
документации оборудования и безопасности ия источники
программного информации
обеспечения бесперебойног
о питания


38
АТТЕСТАЦИЯ ОБЪЕКТА ИНФОРМАТИЗАЦИИ ПО ТРЕБОВАНИЯМ
БЕЗОПАСНОСТИ ИНФОРМАЦИИ

Объекты информатизации должны быть аттестованы по
требованиям безопасности информации в соответствии
нормативными документами ФСТЭК (Гостехкомиссии) России и
требованиями настоящего документа. Ответственность за
обеспечение требований по технической защите
конфиденциальной информации возлагается на руководителей
организаций, эксплуатирующих объекты информатизации.
(СТР-К)


39

Аттестация автоматизированной системы в
защищенном исполнении – процесс комплексной проверки
выполнения заданных функций автоматизированной системы
по обработке защищаемой информации на соответствие
требованиям стандартов и/или нормативных документов в
области защиты информации и оформления документов о ее
соответствии выполнять функции по обработке защищаемой
информации на конкретном объекте информатизации. (ГОСТ Р
51583-2000)


40


Под аттестацией объекта информатизации по
требованиям безопасности информации понимается комплекс
организационно-технических мероприятий, в результате
которых посредством специального документа - «Аттестата
соответствия» подтверждается, что объект соответствует
требованиям стандартов или иных нормативных документов
по защите информации, утвержденных Гостехкомиссией
России, ФАПСИ или другими органами государственного
управления в пределах их компетенции. (СТР-К)


ОРГАНЫ, УПОЛНОМОЧЕННЫЕ НА ВЕДЕНИЕ ЛИЦЕНЗИОННОЙ 41

ДЕЯТЕЛЬНОСТИ В ОБЛАСТИ ЗАЩИТЫ КОНФИДЕНЦИАЛЬНОЙ ИНФОРМАЦИИ
(Федеральный закон от 8.08.2001 г. № 128-ФЗ «О лицензировании отдельных
видов деятельности»)

ФСТЭК деятельность по технической защите
России конфиденциальной информации

ФСБ России деятельность по разработке и (или)
ФСТЭК производству средств защиты
России конфиденциальной информации


ЛИЦЕНЗИОННЫЕ ТРЕБОВАНИЯ И УСЛОВИЯ ОСУЩЕСТВЛЕНИИ 42

ДЕЯТЕЛЬНОСТИ ПО ТЕХНИЧЕСКОЙ ЗАЩИТЕ КОНФИДЕНЦИАЛЬНОЙ
ИНФОРМАЦИИ
а) осуществление лицензируемой деятельности специалистами, имеющими
высшее профессиональное образование по специальности "компьютерная
безопасность", "комплексное обеспечение информационной безопасности
автоматизированных систем" или "информационная безопасность
телекоммуникационных систем", либо специалистами, прошедшими
переподготовку по вопросам защиты информации
б) соответствие производственных
помещений, производственного, испытательного и контрольно-
измерительного оборудования техническим нормам и
требованиям, установленным государственными стандартами Российской
Федерации, руководящими и нормативно-методическими
документами, утвержденными приказами Государственной технической
комиссии при Президенте Российской Федерации
в) использование сертифицированных (аттестованных по требованиям
безопасности информации) автоматизированных систем, обрабатывающих
конфиденциальную информацию, а также средств защиты такой
г) использование третьими лицами программ для электронно-вычислительных
машин или баз данных на основании договора с их правообладателем


43
Практические примеры построения систем защиты ПДн на
примере предприятий различных областей деятельности

Основные руководящие документы:

«Положение о методах и способах защиты информации в
информационных системах персональных данных»
Приказ ФСТЭК № 58 от 05.02.2010

«Об утверждении Порядка проведения классификации
информационных систем персональных данных»
№ 55/86/20 от 13.02.08


44
Автоматизированное рабочее место (АРМ) без подключения
к сетям международного обмена (Интернет)

До


45
Автоматизированное рабочее место (АРМ) без подключения

После

СЗИ НСД*

*Средства защиты информации от несанкционированного доступа


46
Автоматизированное рабочее место (АРМ) с подключением

До


47
Автоматизированное рабочее место (АРМ) с подключением

После

МЭ* + СОА*
+ САЗ*

СЗИ НСД*

*Межсетевой экран
*Система обнаружения атак
*Система анализа защищенности


48
Локальная сеть с выделенным сервером без подключения

До


49
Локальная сеть с выделенным сервером без подключения

После

СЗИ НСД*

СЗИ НСД* СЗИ НСД*

СЗИ НСД*



50
Локальная сеть с выделенным сервером и подключением

До


51
Локальная сеть с выделенным сервером и подключением

После
МЭ* + СОА*

СЗИ НСД*

СЗИ НСД*
СЗИ НСД*

СЗИ НСД*



52
Объединенная локальная сеть состоящая из двух сегментов с
подключением к сетям международного обмена (Интернет)

До


53
Объединенная локальная сеть состоящая из двух сегментов с
подключением к сетям международного обмена (Интернет)

После СЗИ НСД*
Шифрование КПД с
СЗИ НСД* применением СКЗИ СЗИ НСД*

СЗИ НСД*

МЭ* + СОА*
+ САЗ*
СЗИ НСД* СЗИ НСД*
МЭ* + СОА* + САЗ*

*Средства криптографической защиты информации
*Система анализа защищенности

Ориентировочные стоимости 54

сертифицированных СЗИ
Категория средств защиты информации Ориентировочная
стоимость
Средство защиты информации от
несанкционированного доступа (СЗИ НСД) для 3000 - 20000
автономного рабочего места

Средства межсетевого экранирования От 25000

Система анализа защищенности От 5000

Система обнаружения атак
От 1800
(вариант для не серверных ОС Windows)
Средства криптографической защиты
От 20000


55
Перечень документов, которые необходимо подготовить в
случае плановой или внеплановой проверки
Приказ О введении режима обработки ПДн и назначении ответственных
Приказ О проведении работ по защите ПДн

Концепция ИБ
Политика ИБ
Перечень ПДн
Положение о ПДн

Режимный регламент в офисных помещениях
Приказ О допуске пользователей к обработке ПДн

Частная модель угроз
Акт классификации ИСПДн «XXX»

Инструкция администратору
Инструкция по антивирусной защите
Инструкция пользователю

Порядок резервирования и восстановления информации
Приказ О введении электронного журнала
Журнал паролей
Журнал учета информационных массивов
Перечень по учету СЗИ
Приказ о вводе в действие инструкций, режимного регламента
План проверок

Проект системы защиты ПДн
Уведомление

Семинар "Выполнение требований законодательства о персональных данных"

Recommended

Recommended

More Related Content

What's hot

What's hot (19)

Viewers also liked

Viewers also liked (7)

Similar to Семинар "Выполнение требований законодательства о персональных данных"

Similar to Семинар "Выполнение требований законодательства о персональных данных" (19)

Семинар "Выполнение требований законодательства о персональных данных"