ДОКУМЕНТЫ ПО ЗАЩИТЕ ПЕРСОНАЛЬНЫХ ДАННЫХ презентация

ТЕХНИЧЕСКИМ КАНАЛАМ
ТТИ ЮФУ

КОРОБИЛОВ ЮРИЙ БОРИСОВИЧ

технологиях и о защите информации»
Постановление Правительства №781  от 17 ноября 2007 года «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных»
Постановление Правительства РФ №687  от 15.09.2008 г. «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»
Постановление Правительства РФ №512  от 06.07.2008 г. «Об утверждении требований к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных»
Приказ ФСТЭК, ФСБ, Мининформсвязи №55/86/20  от 13.02.2008 г. «Об утверждении порядка проведения классификации информационных систем персональных данных»
Приказ Федеральной службы по надзору в сфере массовых коммуникаций, связи и охраны культурного наследия №154  от 28 марта 2008 г. «Об утверждении Положения о ведении реестра операторов, осуществляющих обработку персональных данных»
Приказ Федеральной службы по надзору в сфере связи и массовых коммуникаций (РОССВЯЗЬКОМНАДЗОР) №8  от 17 июля 2008 г. «Об утверждении образца формы уведомления об обработке персональных данных»

персональных данных при их обработке в информационных системах персональных данных». Утверждена Заместителем директора ФСТЭК России 15 февраля 2008 г.

ФСТЭК России – «Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных». Утверждена Заместителем директора ФСТЭК России 14 февраля 2008 г.

ФСБ РФ – «Методические рекомендации по обеспечению с помощью криптосредств безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств автоматизации». Утверждены руководством 8 Центра ФСБ России 21 февраля 2008 г. №149/5-144

ФСБ РФ – «Типовые требования по организации и обеспечению функционирования шифровальных (криптографических) средств, предназначенных для защиты информации, не содержащей сведений, составляющих государственную тайну в случае их использования для обеспечения безопасности персональных данных при обработке в информационных системах персональных данных». Утверждены руководством 8 Центра ФСБ России 21 февраля 2008 г. №149/6/6-622.
 

по реализации требований закона
к порядку обработки
персональных данных

обеспечение безопасности персональных данных

цели и условия обработки, сроки хранения ПДн различных категорий.

субъектов
на обработку их ПДн

совокупности конкретных технических средств, размещённых внутри конкретных контролируемых зон и предназначенных для обработки конкретных категорий ПДн с конкретными целями. Должна быть проведена их классификация. На каждую ИСПДн должен быть оформлен отдельный Акт классификации

соответствии с методическими документами ФСТЭК и ФСБ
Требования по обеспечению безопасности ПДн разрабатываются на основе модели угроз с учётом установленного класса ИСПДн и включаются в техническое (частное техническое) задание на разработку СЗПд

должна быть спроектирована и создана система защиты персональных данных, соответствующая требованиям руководящих и нормативно-методических документов ФСТЭК и ФСБ по защите информации. Порядок проектирования определяется рядом государственных стандартов и руководящих документов ФСТЭК России

Проводится периодический контроль эффективности применяемых мер защиты, в том числе с применением специальных
сертифицированных средств контроля

в своей информационной системе, оператор получает право начать обработку персональных данных. До начала обработки он обязан уведомить об этом уполномоченный орган по защите прав субъектов персональных данных (Роскомнадзор). Порядок уведомления, содержание представляемых материалов, а также случаи, когда разрешается осуществлять обработку ПДн без уведомления уполномоченного органа, определены в ФЗ-152

ФСТЭК РОССИИ И ФСБ РОССИИ

В ряде предусмотренных федеральным законодательством случаев организация, осуществляющая деятельность, связанную с использованием сертифицированных средств криптографической защиты информации, либо деятельность в области технической защиты конфиденциальной информации должна получить соответствующие лицензии

ряд других норм и требований, которые могут иметь отношение не ко всем операторам и которые должны исполняться теми из них, для кого это является производственной необходимостью. Это и обработка биометрических персональных данных, и вопросы трансграничной передачи персональных данных, и учёт особенностей обработки персональных данных без использования средств автоматизации. При наличии таких оснований требуется выработка специальных мер, разработка процедур и издание внутренних организационно-распорядительных документов, регулирующих данные процессы

ПДн
3. Приказ о введении режима обработки и защиты персональных данных в организации.
4. Приказ об утверждении «Положения об обработке ПДн».
Приложение: «Положение об обработке ПДн».
5. Приказ о создании комиссии для проведения классификации ИСПДн.
Приложение: Акт классификации ИСПДн.
6. Приказ «Об утверждении частной модели угроз безопасности ПДн в
ИСПДн»(ДСП).
Приложение: Частная модель угроз безопасности ПДн (ДСП).
7. Описание технологического процесса обработки информации.
8. Аттестация или декларирование соответствия.
Приложение: Протокол оценки соответствия
9.Приказ о назначении ответственного сотрудника (подразделения) за осуществление мероприятий по защите информации.
10. Приказ о допуске сотрудников к обработке ПДн.
Приложение: Список сотрудников, допущенных к работе с ПДн.
11. Приказ об определении перечня обрабатываемых ПДн
Приложение: Перечень обрабатываемых данных.

: Технические паспорта на защищаемые помещения.
17. Приказ об установлении границ контролируемой зоны.
Приложение: Схема контролируемой зоны.
18.. Обязательство о неразглашении информации .
Приложение : Соглашение
18. Согласие сотрудников на обработку своих ПДн.
Приложение: Форма согласия.
19. Приказ о вводе инструкции по обработке ПДн без использования средств
автоматизации.
Приложение: Инструкция по обработке ПДн без использования средств
автоматизации.
20. Приказ о вводе положения о порядке хранения и уничтожения ПДн.
Приложение: Положение о порядке хранения и уничтожения ПДн.
21. Приказ о вводе электронного журнала обращений субъектов за ПДн.
Приложение: Электронный журнал обращений.
22. Приказ о вводе инструкции по работе с обращениями субъектов за ПДн.
Приложение: Инструкция по работе с обращениями субъектов за ПДн.
23. Приказ о назначении администратора безопасности ПДн.
Приложение: Инструкция администратора безопасности ПДн.

: Инструкция пользователей ИСПДн.
25. Приказ об утверждении инструкции по антивирусному контролю.
Приложение: Инструкция по антивирусному контролю.
Журнал антивирусных проверок.
26. Приказ об утверждении инструкции по резервному копированию информации.
Приложение: Инструкция по резервному копированию информации.
27. Приказ об утверждении инструкции по парольной защите.
Приложение: Инструкция по парольной защите информации.
28. Журнал учёта паролей, логинов пользователей.
29. Приказ об утверждении инструкции по работе со съёмными носителями и
журнала учёта съёмных носителей информации.
Приложение: Инструкция по работе со съёмными носителями.
Журнал учёта съёмных носителей информации.
30. Приказ об установке и вводе в эксплуатацию СЗИ.
Приложение: Описание СЗИ.
Акт установки СЗИ с заключением о готовности к эксплуатации.
Журнал поэкземплярного учёта СЗИ.
Инструкция по пользованию СЗИ.

обеспечению защиты ПДн.
33. План внутренних проверок.
34. Акты внутренних проверок.
35. Приказ об утверждении перечня сведений, составляющих конфиденциальную информацию.
Приложение: Перечень сведений, составляющих конфиденциальную информацию.
36. Приказ о создании постоянно действующей технической комиссии.
Приложение: Положение о ПДТК.
План работы ПДТК (на год).
Протоколы заседаний (отчёты работы).
37. Приказ об утверждении инструкции по пропускной работе в защищаемые помещения.
Приложение: Инструкция по пропускной работе в защищаемые помещения.

сентября 1999 г. № 158
«Об утверждении положения о порядке разработки, производства, реализации и использования средств криптографической защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну (Положение ПКЗ-99)


2. Приказ ФАПСИ РФ от 13 июня 2001 г. № 152
«Об утверждении инструкции об организации и обеспечении безопасности хранения, обработки и передачи по каналам связи с использованием средств криптографической защиты информации с ограниченным доступом , не содержащей сведений, составляющих государственную тайну»



3. Приказ ФСБ РФ от 9 февраля 2005 г. № 66
«Об утверждении положения о разработке реализации и эксплуатации шифровальных (криптографических) средств защиты информации (Положение ПКЗ-2005)

г.
По организации и обеспечению функционирования шифровальных (криптографических) средств , предназначенных для защиты информации, не содержащей сведений, составляющих государственную тайну, в случае их использования для обеспечения безопасности персональных данных при их обработке в ИСПДн

5. Типовые требования ФСБ РФ № 149/54-144 от 21 февраля 2008 г.
По обеспечению с помощью криптосредств безопасности персональных данных при их обработке в ИСПДн с использованием средств автоматизации

6. Приказ ФСБ РФ от 27 декабря 2011 г. № 796
«Об утверждении Требований к средствам электронной подписи и Требований к средствам удостоверяющего центра»

7. Федеральный закон от 10 января 2002 г. № 1-ФЗ
«Об электронной цифровой подписи»

8. Федеральный закон от 27 июля 2006 г. № 149-ФЗ
«Об информации, информационных технологиях и о защите информации»

9. Постановление Пенсионного фонда РФ от 26 января 2001 г. № 15
« О введении в системе Пенсионного фонда РФ криптографической защиты информации и электронной цифровой подписи»

ИСПОЛЬЗОВАНИЕМ КРИПТОСРЕДСТВ




Модель угроз безопасности персональных данных при их обработке в информационной системе персональных данных.
Эксплуатационная и техническая документация на используемые криптосредства.
Заключение о возможности эксплуатации криптосредств.
Журнал учета используемых криптосредств.
Журнал учета технической документации к криптосредствам.
Журнал учета носителей персональных данных.
Приказ о назначении лиц (пользователей криптосредств), допущенных к работе с криптосредствами.
Документ, устанавливающий порядок обеспечения безопасности ПДн при помощи криптосредств.
Документ, устанавливающий порядок организации контроля за соблюдением условий использования криптосредств.
Документ, устанавливающий порядок хранения носителей персональных данных.

на пользователей криптосредств.

Технический (аппаратный) журнал регистрации разовых ключевых носителей (при необходимости).

Приказ о назначении комиссии по уничтожению ключевых документов.

Документ, устанавливающий требования к режимным помещениям в которых эксплуатируются криптосредства.

Журнал учета хранилищ.

Журнал проверок исправности сигнализации.

Журнал учета ключей от хранилищ ключевых документов и технической документации.

Журнал службы охраны.

ЗАЩИТЕ ПО УРОВНЮ «К»

ОРГАНИЗАЦИОННОЕ ОБЕСПЕЧЕНИЕ БЕЗОПАСНОСТИ

1. Определяются должностные лица, ответственные за обеспечение безопасности информации и эксплуатации СКЗИ.
2. Разрабатываются нормативные документы, регламентирующие вопросы безопасности информации и эксплуатации СКЗИ.
3. К работе со СКЗИ допускаются сотрудники, имеющие навыки работы на ПЭВМ, ознакомленные с правилами эксплуатации СКЗИ.

ТРЕБОВАНИЯ ПО РАЗМЕЩЕНИЮ СКЗИ И РЕЖИМУ ОХРАНЫ

1. Помещения, в которых размещаются программно-технические средства со встроенными СКЗИ, являются режимными и должны обеспечивать конфиденциальность проводимых работ.
2. Размещение режимных помещений и их оборудование должны исключать возможность бесконтрольного проникновения в них посторонних лиц и обеспечивать сохранность конфиденциальных документов и технических средств.

и требованиям пожарной безопасности.
4. Входные двери в помещения должны быть оборудованы замками, обеспечивающими надёжное закрытие помещений в нерабочее время.
5. Окна и двери должны оборудованы охранной сигнализацией.
6. Размещение технических средств в режимном помещении должно исключать возможность визуального просмотра конфиденциальных документов и экранов мониторов, на которых она отражается через окна.
7. Системные блоки ЭВМ со СКЗИ оборудуются средствами контроля вскрытия.
8. Ремонт и/или последующее использование системных блоков осуществляется после удаления с них программного обеспечения СКЗИ.

ТРЕБОВАНИЯ ПО ОБЕСПЕЧЕНИЮ БЕЗОПАСНОСТИ
КЛЮЧЕВОЙ ИНФОРМАЦИИ

Носители ключей ЭЦП, шифрования и инсталляционные диски с ПО СКЗИ берутся на поэкземплярный учёт в выделенных для этих целей журналах.

Учёт и хранение ключей поручается специально назначенному сотруднику.

3. Носители и ключи хранятся в специально выделенном сейфе.

хранилище (сейфе) с другими документами при условиях, исключающих их непреднамеренное уничтожение или иное, не предусмотренное правилами пользования СКЗИ, применение.

5. Рабочие и резервные ключи хранятся раздельно, с обеспечением условия невозможности их одновременной компрометации.

ПРОВОДИТ ПРОВЕРКУ ТОЛЬКО ДОКУМЕНТОВ).
 
В ПРЕДЕЛАХ ОДНОЙ ОРГАНИЗАЦИИ ОБЪЯВИТЬ ПЕРСОНАЛЬНЫЕ ДАННЫЕ ОБЩЕДОСТУПНЫМИ.
 
ОБЕЗЛИЧТЬ ПЕРСОНАЛЬНЫЕ ДАННЫЕ (НОМЕР КОНТРАКТА, ИНН И Т.Д.).
 
ОПРЕДЕЛИТЬ ИСПДн КАК СПЕЦИАЛЬНУЮ. НАБОР СРЕДСТВ ЗАЩИТЫ ПРЕДНАЗНАЧЕН ТОЛЬКО ДЛЯ ТИПОВЫХ СИСТЕМ.
  
ЕСЛИ ВЫ НЕ МОЖЕТЕ КОНТРОЛИРОВАТЬ ПРОГРАММНОЕ ОБЕСПЕЧНИЕ – ТО ВСЯ СИСТЕМА ЯВЛЯЕТСЯ НЕ ВАШЕЙ, А ТОЙ КОМПАНИИ, КОТОРАЯ ЭТУ ПРОГРАММУ ВНЕДРИЛА И ТРЕБУЕТ ОТ ВАС РАБОТАТЬ С ЭТОЙ ПРОГРАММОЙ (НАЛОГОВАЯ, ПФР И Т.Д.).

и коммуникаций (РОСКОМНАДЗОР)
www.pd.rsoc.ru – Портал персональных данных
www.fctec.ru - Федеральная служба по техническому и экспортному контролю (ФСТЭК России)