Проблема обеспечения безопасности персональных данных граждан презентация

Содержание

Одной из основных задач развития информационного общества в Российской Федерации является совершенствование системы государственных гарантий конституционных прав человека и гражданина в информационной сфере, в том числе гарантий неприкосновенности его частной жизни.

Слайд 1ПРОБЛЕМА ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ ГРАЖДАН. ОТ ТРЕБОВАНИЙ ЗАКОНА К ПРАКТИЧЕСКОЙ

РЕАЛИЗАЦИИ


Слайды №№6-30 предоставлены ЗАО «Открытые технологии 98»,


Слайд 2Одной из основных задач развития информационного общества в Российской Федерации является

совершенствование системы государственных гарантий конституционных прав человека и гражданина в информационной сфере, в том числе гарантий неприкосновенности его частной жизни.
«Стратегия развития информационного общества в РФ»
№ Пр-212 от 7.02.2008 г.

Введение


Слайд 3В условиях формирования информационного общества особую значимость приобретает проблема обеспечения безопасности

информации, особенно это касается информации, накапливаемой и обрабатываемой в информационных системах органов государственной власти всех уровней , в том числе информации об обстоятельствах частной жизни граждан – их персональных данных

Слайд 4Конституция РФ, Статья 23
Конституция РФ, Статья 24

Каждый имеет
право на неприкосновенность

частной жизни, личную и семейную тайну, защиту своей чести и доброго имени.


Сбор, хранение, использование и распространение информации о частной жизни лица без его согласия не допускаются.


Слайд 5Выделение категории «персональные данные» из более общей категории «частная жизнь», связано

прежде всего с распространением автоматизированных систем обработки и хранения информации, в первую очередь компьютерных баз данных, к которым возможен несанкционированный доступ. Именно эти системы, по сути, сделавшие революцию в вопросах структурирования, хранения и поиска необходимых данных, создали предпосылки для возникновения проблемы защиты сведений персонального характера – персональных данных с целью защиты прав и свобод граждан.

Слайд 6Проблематика вопроса
В рамках гармонизации российского и международного законодательства в 2007 году

принят федеральный закон ФЗ-152 «О персональных данных», который обязывает оператора при обработке персональных данных принимать необходимые организационные и технические меры.
Это порождает ряд задач:
после 01.01.2010 (срок может быть перенесён на год) все ИСПДн должны удовлетворять требованиям ФЗ-152;
оператор должен зарегистрироваться*;
оператор должен провести классификацию ИСПДн;
средства защиты ПДн должны быть сертифицированы;
оператора будут проверять.

* не требуется регистрация, если обрабатываются ПДн сотрудников организации в рамках трудового законодательства.


Слайд 7Что такое персональные данные?
Персональные данные (ПДн) - любая информация, относящаяся к

физическому лицу.

фамилия, имя, отчество;
серия и номер паспорта;
год, месяц, дата рождения;
адрес, семейное положение;
образование, профессия;
доходы, номер счёта, ИНН;
история болезни;
вероисповедание;
дополнительная информация…


Слайд 8Что такое обработка ПДн?
Обработка ПДн – сбор, систематизация, накопление, хранение, уточнение

(обновление, изменение), использование, распространение, обезличивание, блокирование, уничтожение.

Слайд 9Кто обрабатывает ПДн?
«Оператор - государственный орган, муниципальный орган, юридическое или

физическое лицо, организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели и содержание обработки персональных данных».

«Оператор при обработке персональных данных обязан принимать необходимые организационные и технические меры, в том числе использовать шифровальные средства, для защиты персональных данных от неправомерного или случайного их использования.»


Слайд 10Примеры, где обрабатывают ПДн?
Персональные данные граждан распределены по базам данных государственных

и муниципальных органов, например:
налоговой службы,
службы занятости,
пенсионного фонда,
фонда обязательного медицинского страхования,
управления внутренних дел,
операторов связи,
регистрационных служб, статистики, избиркома, муниципалитетов и т.д.

Слайд 11Классификация ИСПДн* (1)
ИСПДн – классифицируются по категориям:
К4 - обезличенные и (или)

общедоступные данные.
К3 - персональные данные, позволяющие идентифицировать субъекта персональных данных;
К2 - персональные данные, позволяющие идентифицировать субъекта и получить о нем дополнительную информацию, за исключением данных К1;
К1 - персональные данные, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных и философских убеждений, состояния здоровья, интимной жизни и т.п.

* ИСПДн – информационная система обработки персональных данных


Слайд 12Согласно требованию законодательства операторы ПДн разделены на категории.
Классификация ИСПДн (2)
Дополнительные признаки:


трансграничная обработка ПДн
территориальная распределённость.

Слайд 13История вопроса (1)
Основополагающие международные документы:
Конвенция Совета Европы о защите прав

личности в связи с автоматической обработкой персональных данных (1981 год).
Руководящие принципы Организации по экономическому сотрудничеству и развитию о защите приватности в связи с трансграничной передачей персональных данных.

* Почти 30 стран признали Конвенцию Совета Европы и еще несколько государств сделают это в будущем.


Слайд 14История вопроса (2)
Государственная Дума РФ ратифицировала конвенцию в ноябре 2001 года,

а 20 декабря 2005 года Президент РФ подписал Федеральный закон «О ратификации Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных»*.

* Почти 30 стран признали Конвенцию Совета Европы и еще несколько государств сделают это в будущем.


Слайд 15Контроль и надзор в сфере ПДн
РосКомНадзор 
контроль и надзор за
соответствием

обработки ПДн
требованиям законодательства.

ФСБ РФ 
регулирует
использование
криптографии.

ФСТЭК России
устанавливает методы и
способы защиты информации


Слайд 16Нормативно-правовая база (1)
ФЗ №160 «О ратификации Конвенции Совета Европы о защите

физических лиц при автоматизированной обработке персональных данных»;
ФЗ №152 «О персональных данных»;
ПП №781 «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных»;
ПП №687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»;
Приказ №55/86/20 «Порядок проведения классификации информационных систем персональных данных».

* не требуется регистрация, если обрабатываются ПДн сотрудников организации в рамках трудового законодательства.


Слайд 17Нормативно-правовая база (2)
Документы ФСБ:
Методические рекомендации по обеспечению с помощью

криптосредств безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств автоматизации;
Типовые требования по организации и обеспечению функционирования шифровальных (криптографических) средств, предназначенных для защиты информации, не содержащей сведений, составляющих государственную тайну в случае их использования для обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных.

* не требуется регистрация, если обрабатываются ПДн сотрудников организации в рамках трудового законодательства.


Слайд 18Нормативно-правовая база (3)
Документы ФСТЭК:
Рекомендации по обеспечению безопасности ПД при

их обработке в ИСПДн;
Основные мероприятия по организации и техническому обеспечению безопасности ПД, обрабатываемых в ИСПДн;
Базовая модель угроз безопасности ПД при их обработке в ИСПДн;
Методика определения актуальных угроз безопасности ПД при их обработке в ИСПДн;

* не требуется регистрация, если обрабатываются ПДн сотрудников организации в рамках трудового законодательства.


Слайд 19Ответственность за несоблюдение*
Нарушение КоАП (ст. КоАП 13.11, 13.12, 13.14, 5.27,

19.5, 19.20):
штраф от 5 до 500 тыс. руб.;
приостановление деятельности организации до 90 суток;
дисквалификация должностного лица до 3-х лет;
конфискация несертифицированных средств обработки.
Уголовная ответственность (ст. УК 137, 140, 171):
штраф до 300 тыс. руб.;
лишение права занимать должность на срок до 5 лет;
арест до 6 мес.
Нарушение трудового законодательства (ст. ТК 81, 90, 237):
увольнение, выплата компенсаций.

* согласно ФЗ№152 ст. 24


Слайд 20Подход к выполнению Закона
Выполнение всех требований к назначенному классу;
Выделение

ИСПДн из ИТ-ландшафта предприятия;
Аутсорсинг обработки ПДн;
Обезличивание ПДн в ИС и изменение правил обработки;
Принятие рисков, связанных с несоответствием.

Слайд 21Практические рекомендации по организации защиты ПДн (1)
Обследование
Провести инвентаризацию ИТ-средств, выявить части

системы, где присутствует обработка ПДн;
Ограничить права доступа к ПДн
Определить лица, которым доступ к ИСПДн необходим для выполнения служебных (трудовых) обязанностей; составить и утвердить список соответствующих лиц;
Провести мероприятия по ведению учёта лиц, допущенных к работе с персональными данными в информационной системе.

Слайд 22Практические рекомендации по организации защиты ПДн (2)
Разработать регламент обработки ПДн
Работники должны

быть ознакомлены под роспись с документами работодателя, устанавливающими порядок обработки персональных данных работников, а также об их правах и обязанностях в этой области
Проект «разрешения» на обработку ПДн для субъектов.
Сформировать модель угроз
Согласно методическим рекомендациям ФСБ определить угрозы безопасности персональных данных при их обработке.

Слайд 23Практические рекомендации по организации защиты ПДн (3)
Провести классификацию ИСПДн
Классификацию провести согласно

разбиению на К1, К2, К3, К4 (важно не ошибиться, чтобы потом не перестраивать систему заново).
Направить уведомление в уполномоченный орган
Провести регистрацию в реестре операторов (в электронном виде): http://pd.rsoc.ru/operators-registry/


Слайд 24http:// pd.rsoc.ru/operators-registry/
Практические рекомендации по организации защиты ПДн (4)



Слайд 25Практические рекомендации по организации защиты ПДн (5)
Внедрить систему информационной безопасности ИСПДн
Обеспечить

выполнение мер по безопасности ПДн при их обработке;
Для ИСПДн К1 и К2 обязательная сертификация (аттестация) по требованиям безопасности информации (для остальных – декларация соответствия);
Контролировать соблюдение условий использования средств защиты информации, предусмотренных эксплуатационной и технической документацией.

Слайд 26Типичные вопросы проверяющих
Проверки прошли уже в 2008 и 2009 годах.
План

проверок на 2010 известен.
Правильно ли проведена классификация системы обработки ПДн?
Что сделано в рамках создания системы защиты персональных данных (проектирование, внедрение сертифицированных средств защиты, аттестация)?
Защищена ли сеть передачи данных?
Предусмотрена ли трансграничная передача ПДн?
ПДн обрабатываются сертифицированным программно-аппаратным комплексом?

Слайд 27План проверок


Слайд 28Практика проверок*
За второй квартал 2009 года территориальными органами Роскомнадзора было проведено

205 проверок операторов ПДн (119 плановых и 86 внеплановых проверок):
В результате выдано 293 предписания об устранении выявленных нарушений;
Составлено и направлено на рассмотрение в суды 27 протоколов об административных правонарушениях;
В 25 случаях материалы проверок были направлены в органы прокуратуры для рассмотрения вопроса о возбуждении дела об административном правонарушении.

* по материалам отчёта Роскомнадзора за 2-ой квартал 2009 года.


Слайд 29Постановка задачи ИСПДн
Система защиты персональных данных (СЗПДн) - это комплекс программных,

технических и организационных защитных мер, предназначенный для обеспечения требуемого уровня защиты персональных данных (ПДн) клиентов и сотрудников.

Слайд 30«Классическая» защита ПДн
Распределённое хранилище ИСПДн,
требуется много средств защиты,
высокие затраты

на проведение работ по внедрению

Слайд 31«Централизованная» защита ПДн
Аттестуем только центр обработки данных,
рабочие места легче защищать
Эксплуатируем ЦОД


и для других нужд министерств и ведомств

Слайд 32Состав нормативных и методических документов:
Федеральный закон 2006 г. № 149-ФЗ «Об

информации, информационных технологиях и защите информации».
Федеральный закон 2006 г. № 152-ФЗ «О персональных данных»
Постановление Правительства РФ от 17 ноября 2007 г. № 781 «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в ИС персональных данных»
Постановление Правительства РФ от 15 сентября 2008 г. № 687 «Об утверждении положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации».
Документы уполномоченных федеральных органов

НОРМАТИВНАЯ БАЗА ПО ЗАЩИТЕ ПДн ПРИ ИСПОЛЬЗОВАНИИ СРЕДСТВ АВТОМАТИЗАЦИИ


Слайд 33Документы предназначены для использования при обеспечении безопасности ПДн в ИС:

государственных и

муниципальных органов власти;
юридических лиц (независимо от формы их собственности);
физических лиц (кроме случаев использования ИС только для личных и семейных нужд).

Назначение и область применения документов


Слайд 341. Порядок проведения классификации ИСПДн. (Совместный приказ ФСТЭК России, ФСБ России

и Мининформсвязи России от 13 февраля 2008 г. № 55/86/20. Зарегистрирован в Минюсте России 3.04.2008 г., регистрационный № 11462).

ФСТЭК России
2. Базовая модель угроз безопасности ПДн при их обработке в ИСПДн. ДСП.
3. Методика определения актуальных угроз безопасности ПДн при их обработке в ИСПДн. ДСП.
4. Рекомендации по обеспечению безопасности ПДн при их обработке в ИСПДн. ДСП.
5. Основные мероприятия по организации и техническому обеспечению безопасности ПДн, обрабатываемых в ИСПДн. ДСП.

Утверждены зам. директора ФСТЭК России 14-15.02.2008 г.

Документы уполномоченных федеральных органов (1)


Слайд 35ФСБ России

6. Типовые требования по организации и обеспечению функционирования шифровальных

(криптографических) средств, предназначенных для защиты информации, не содержащей сведений, составляющих государственную тайну, в случае их использования для обеспечения безопасности ПДн при их обработке в ИСПДн. № 149/6/6-622, 2008 г., ФСБ России.

7. Методические рекомендации по обеспечению с помощью криптосредств безопасности ПДн при их обработке в ИСПДн с использованием средств автоматизации. № 149/54-144, 2008 г. ФСБ России.

Документы уполномоченных федеральных органов (2)


Слайд 361. Сфера действия (ст. 1)

1. ФЗ регулируются отношения, связанные с

обработкой ПДн, осуществляемой федеральными органами государственной власти, органами государственной власти субъектов Российской Федерации, иными государственными органами, органами местного самоуправления, не входящими в систему органов местного самоуправления муниципальными органами, юридическими лицами, физическими лицами с использованием средств автоматизации или без использования таких средств.

2. Действие ФЗ не распространяется на отношения, возникающие при:
1) обработке ПДн физическими лицами исключительно для личных и семейных нужд, если при этом не нарушаются права субъектов ПДн;
2) организации хранения, комплектования, учета и использования содержащих персональные данные документов Архивного фонда РФ других архивных документов в соответствии с законодательством об архивном деле в РФ;
3) обработке подлежащих включению в единый государственный реестр индивидуальных предпринимателей сведений о физических лицах, если такая обработка осуществляется в соответствии с законодательством РФ в связи с деятельностью физического лица в качестве индивидуального предпринимателя;
4) обработке ПД, отнесенных в установленном порядке к сведениям, составляющим государственную тайну.

Основные положения ФЗ 2006 г. № 152 «О персональных данных»


Слайд 37Целью Федерального закона является обеспечение защиты прав и свобод человека и

гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну.

3. Понятийный аппарат (ст. 3)

1) персональные данные - любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация.
2) оператор - государственный орган, муниципальный орган, юридическое или физическое лицо, организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели и содержание обработки персональных данных.
3) обработка персональных данных - действия (операции) с персональными данными, включая сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передачу), обезличивание, блокирование, уничтожение персональных данных.

2. Цель Федерального закона (ст. 2)


Слайд 381. Обработка ПДн должна осуществляться на основе принципов:
1)

законности целей и способов обработки ПДн и добросовестности;
2) соответствия целей обработки ПДн целям, заранее определенным и заявленным при сборе персональных данных, а также полномочиям оператора;
3) соответствия объема и характера обрабатываемых ПДн, способов обработки персональных данных целям обработки персональных данных;
4) достоверности ПДн, их достаточности для целей обработки, недопустимости обработки ПДн, избыточных по отношению к целям, заявленным при сборе персональных данных;
5) недопустимости объединения созданных для несовместимых между собой целей баз данных информационных систем ПДн.
2. Хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели их обработки, и они подлежат уничтожению по достижении целей обработки или в случае утраты необходимости в их достижении.

4. Принципы обработки персональных данных (ст. 5)


Слайд 391. Обработка ПДн может осуществляться оператором с согласия субъектов ПДн, за

исключением случаев, предусмотренных частью 2 настоящей статьи.
2. Согласие субъекта ПДн, не требуется в следующих случаях:
1) обработка ПДн осуществляется на основании ФЗ, устанавливающего ее цель, условия получения ПДн и круг субъектов, персональные данные которых подлежат обработке, а также определяющего полномочия оператора;
2) обработка ПДн осуществляется в целях исполнения договора, одной из сторон которого является субъект персональных данных;
3) обработка ПДн осуществляется для статистических или иных научных целей при условии обязательного обезличивания ПДн;
4) обработка ПДн необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта ПДн, если получение согласия субъекта ПДн невозможно;
5) обработка ПДн необходима для доставки почтовых отправлений…;
6) обработка ПДн осуществляется в целях профессиональной деятельности журналиста либо в целях научной, литературной или иной творческой деятельности при условии, что при этом не нарушаются права и свободы субъекта ПДн;
7) осуществляется обработка ПДн, подлежащих опубликованию в соответствии с федеральными законами...

5. Условия обработки персональных данных (ст. 6)


Слайд 40(ст. 7) 1. Операторами и третьими лицами, получающими доступ к ПДн,

должна обеспечиваться конфиденциальность таких данных, за исключением:
1) в случае обезличивания персональных данных;
2) в отношении общедоступных персональных данных.

(ст. 19) 1. Оператор при обработке ПДн обязан принимать необходимые организационные и технические меры, в том числе использовать шифровальные (криптографические) средства, для защиты ПДн от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения ПДн, а также от иных неправомерных действий.
2. Правительство РФ устанавливает требования к обеспечению безопасности ПДн при их обработке в ИСПДн, требования к материальным носителям биометрических ПДн и технологиям хранения таких данных вне ИСПДн.
3. Контроль и надзор за выполнением требований, установленных Правительством РФ в соответствии с частью 2 настоящей статьи, осуществляются федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, и федеральным органом исполнительной власти, уполномоченным в области противодействия техническим разведкам и технической защиты информации, в пределах их полномочий и без права ознакомления с персональными данными, обрабатываемыми в ИСПДн.

6. Меры по обеспечению безопасности ПДн при их обработке


Слайд 411. Уполномоченным органом по защите прав субъектов ПДн, на который возлагается

обеспечение контроля и надзора за соответствием обработки ПДн требованиям ФЗ, является федеральный орган исполнительной власти, осуществляющий функции по контролю и надзору в сфере информационных технологий и связи.
3. Уполномоченный орган по защите прав субъектов ПДн имеет право:
3) требовать от оператора уточнения, блокирования или уничтожения недостоверных или полученных незаконным путем персональных данных;
4) принимать в установленном законодательством Российской Федерации порядке меры по приостановлению или прекращению обработки персональных данных, осуществляемой с нарушением требований Федерального закона;
5) обращаться в суд с исковыми заявлениями в защиту прав субъектов ПДн и представлять интересы субъектов персональных данных в суде;
6) направлять заявление в орган, осуществляющий лицензирование деятельности оператора, для рассмотрения вопроса о принятии мер по приостановлению действия или аннулированию соответствующей лицензии в установленном законодательством РФ порядке;
7) направлять в органы прокуратуры, другие правоохранительные органы материалы для решения вопроса о возбуждении уголовных дел по признакам преступлений, связанных с нарушением прав субъектов персональных данных, в соответствии с подведомственностью;
9) привлекать к административной ответственности лиц, виновных в нарушении Федерального закона.

7. Уполномоченный орган по защите прав субъектов ПДн (ст. 23) (1)


Слайд 42В настоящее время Уполномоченным органом по защите прав субъектов персональных данных,

назначаемым в соответствии со ст. 23 ФЗ «О персональных данных», является Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор), преобразованная из Федеральной службы по надзору в сфере связи и массовых коммуникаций в соответствии с указом Президента РФ от 3 декабря 2008 года № 1715.
Положение о Роскомнадзоре утверждено Постановлением Правительства РФ от 16 марта 2009 г. № 228.

7. Уполномоченный орган по защите прав субъектов ПДн (ст. 23) (2)


Слайд 43Оператор до начала обработки ПДн обязан уведомить уполномоченный орган по защите

прав субъектов ПДн о своем намерении осуществлять обработку ПДн, за исключением следующих случаев их обработки :
1) относящихся к субъектам ПДн, которых связывают с оператором трудовые отношения;
2) полученных оператором в связи с заключением договора, если ПДн не распространяются, а также не предоставляются третьим лицам без согласия субъекта ПДн и используются оператором исключительно для исполнения указанного договора и заключения договоров с субъектом ПДн;
3) относящихся к членам (участникам) общественного объединения или религиозной организации;
4) являющихся общедоступными ПДн;
5) включающих в себя только фамилии, имена и отчества субъектов ПДн;
6) необходимых в целях однократного пропуска субъекта ПДн;
7) включенных в ИСПДн, имеющие в соответствии с федеральными законами статус федеральных автоматизированных ИС;
8) обрабатываемых без использования средств автоматизации.

8. Уведомление об обработке персональных данных Ст. 22 (1)


Слайд 44Форма уведомления о намерении оператором осуществлять обработку персональных данных и порядок

её заполнения установлены приказом Федеральной службы по надзору в сфере связи и массовых коммуникаций (Россвязькомнадзор)
№ 8 от 17 июля 2008 г. с изменениями,
внесёнными приказом № 42 от 18 февраля 2009 г.

8. Уведомление об обработке персональных данных Ст. 22 (2)


Слайд 4510. Ответственность за нарушение требований Федерального закона «О персональных данных» (ст.

24)
Лица, виновные в нарушении требований Федерального закона, несут гражданскую, уголовную, административную, дисциплинарную и иную предусмотренную законодательством Российской Федерации ответственность.

11. Сроки реализации требований Федерального закона
«О персональных данных» (ст. 25)
После дня вступления в силу Федерального закона (27.01.2007) обработка персональных данных, включенных в информационные системы персональных данных до дня его вступления в силу, осуществляется в соответствии с Федеральным законом.
Информационные системы персональных данных, созданные до дня вступления в силу Федерального закона, должны быть приведены в соответствие с требованиями настоящего Федерального закона не позднее 1 января 2010 года.


Слайд 46 Задача обеспечения безопасности ПДн и обязанность классификации ИСПДн возлагается на

оператора ИСПДн.
Работы по обеспечению безопасности ПДн должны являться неотъемлемой частью работ по созданию ИСПДн.
Безопасность ПДн должна обеспечиваться с помощью создаваемой оператором СЗПДн, включающей организационные меры и СЗИ (в том числе шифровальные (криптографические) средства, средства предотвращения несанкционированного доступа, утечки информации по техническим каналам, программно-технических воздействий на технические средства обработки персональных данных), а также используемые в информационной системе информационные технологии.
Средства защиты ПДн должны пройти оценку соответствия (во ФСТЭК России или ФСБ России).
Достаточность принятых мер по обеспечению безопасности ПДн оценивается при проведении государственного контроля и надзора.

Требования Правительства РФ к обеспечению безопасности ПДн (1) (Постановление Правительства РФ от 17 ноября 2007 г. № 781)


Слайд 47Мероприятия по обеспечению безопасности ПДн включают в себя:
а) определение угроз безопасности

ПДн и формирование на их основе модели угроз и классификацию ИСПДн;
б) разработку СЗПДн;
в) проверку готовности СЗИ к использованию с составлением заключений о возможности их эксплуатации;
г) установку и ввод в эксплуатацию СЗИ;
д) обучение лиц, использующих СЗИ, правилам работы с ними;
е) учет применяемых СЗИ, и документации к ним, носителей ПДн;
ж) учет лиц, допущенных к работе с ПДн в ИСПДн;
з) контроль за соблюдением условий использования СЗИ;
и) реагирование на нарушение режима защиты ПДн;
к) описание системы защиты ПДн.

Требования Правительства РФ к обеспечению безопасности ПДн (2) (Постановление Правительства РФ от 17 ноября 2007 г. № 781)


Слайд 48провести инвентаризацию ИР, обрабатываемых в ИС и определить перечень обрабатываемых ПДн;
урегулировать

правовые вопросы обработки (использования) ПДн (уточнение правовых оснований обработки ПДн, получение согласия субъектов на обработку, пересмотр (при необходимости) договоров с субъектами, установление сроков обработки ПДн и др.);
оформить и направить в территориальный орган уполномоченного органа по защите прав субъектов ПДн уведомление об обработке ПДн;
разработать модель угроз (на основании результатов обследования ИСПДн);
провести классификацию ИСПДн с оформлением соответствующего акта;

Обязанности операторов (1) Оператор персональных данных обязан:


Слайд 49получить при необходимости (для операторов ИСПДн 1 и 2 класса) лицензию

на деятельность по ТЗИ (согласно постановлению Правительства РФ 2006 г. № 504);
определить требования по защите ПДн при их обработке в ИСПДн в соответствии с присвоенным классом и результатами моделирования угроз;
осуществить проектирование Системы защиты персональных данных (СЗПДн);
реализовать проект на создание СЗПДн;
провести оценку соответствия ИСПДн требованиям безопасности согласно присвоенному классу;
организовать эксплуатацию ИСПДн в соответствии с требованиями безопасности и контроль соблюдения использования СЗИ.

Обязанности операторов (2) Оператор персональных данных обязан:


Слайд 50Мероприятия по обеспечению безопасности персональных данных должны сочетать в себе реализацию

правовых, организационных и технических мер защиты, причем все они одинаково значимы, а невыполнение одних требований сводит на нет результаты реализации других.

РЕКОМЕНДАЦИИ ПО СОЗДАНИЮ СИСТЕМЫ ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ

Работы по обеспечению безопасности ПДн при их обработке в ИСПДн являются неотъемлемой частью работ по созданию ИСПДн и должны осуществляться в виде создаваемой системы (подсистемы) защиты персональных данных (СЗПДн).
Перечень обязательных организационных и технических мероприятий, направленных на обеспечение безопасности персональных данных, для типовых систем определяется категорией и объемом обрабатываемых в системе ПДн, а для специальных – совокупностью актуальных угроз.


Слайд 51За основу может быть взято «Положение о персональных данных государственного гражданского

служащего Российской Федерации и ведении его личного дела»
(Указ Президента Российской Федерации от 30 мая 2005 г. № 609)

Положение об обработке ПДн Перечень отражаемых вопросов:

Правовые основания обработки ПДн.
Перечень и категории обрабатываемых персональных данных.
Категории субъектов персональных данных.
Перечень действий с персональными данными.
Дата начала обработки, срок или условие её прекращения.
Основания и порядок уничтожения персональных данных.
Форма согласия субъекта персональных данных на их обработку.
Обязанности персонала при обработке персональных данных.


Слайд 52Стадии создания СЗПДн Рекомендуются следующие стадии создания СЗПДн:
предпроектная стадия, включающая предпроектное обследование

ИСПДн, разработку технического (частного технического) задания на ее создание;
стадия проектирования (разработки проектов) и реализации ИСПДн, включающая разработку СЗПДн в составе ИСПДн;
стадия ввода в действие СЗПДн, включающая опытную эксплуатацию и приемо-сдаточные испытания средств защиты информации, а также оценку соответствия ИСПДн требованиям безопасности информации.


Слайд 53Предпроектная стадия (обследование ИСПДн)
устанавливается необходимость обработки ПДн в ИСПДн;
определяется перечень ПДн,

подлежащих защите;
определяются условия расположения ИСПДн относительно границ контролируемой зоны (КЗ);
определяются конфигурация и топология ИСПДн в целом, и ее отдельных компонент, физические, функциональные и технологические связи как внутри этих систем, так и с другими системами различного: уровня назначения;
определяются технические средства и системы, предполагаемые к использованию в разрабатываемой ИСПДн, условия их расположения, общесистемные и прикладные программные средства, имеющиеся и: предлагаемые к разработке;
определяются режимы обработки ПДн в ИСПДн в целом и в отдельных компонентах;
определяется класс ИСПДн;
уточняется степень участия персонала в обработке ПДн, характер их взаимодействия между собой;
определяются (уточняются) угрозы безопасности ПДн к конкретным условиям функционирования (разработка частной модели угроз).

Слайд 54Классификация ИСПДн проводится операторами -государственными органами, муниципальными органами, юридическими и физическими

лицами, организующими и (или) осуществляющими обработку ПДн, а также определяющими цели и содержание обработки ПДн.

Классификация ИСПДн

Целью классификации ИСПДн является определение по её результатам перечня организационных и технических мероприятий, позволяющих выполнить требования по обеспечению безопасности ПДн при их обработке в ИСПДн.
Проведение классификации ИСПДн обусловлено необходимостью реализации дифференцированного подхода к обеспечению безопасности ПДн в зависимости от объема обрабатываемых ПДн и угроз безопасности им с целью минимизации затрат на защиту информационных систем персональных данных.


Слайд 55Оформление результатов классификации ИСПДн (1)
Результаты классификации информационных систем оформляются соответствующим

актом оператора.
Пункт 18 Приказа №55/86/20

Для проведения классификации оператором ИСПДн назначается внутренняя комиссия, в состав которой включаются представители основных подразделений организации осуществляющих сбор, обработку и использование персональных данных, представители IT-подразделения и службы безопасности (защиты информации).
Акт классификации утверждается руководителем организации.


Слайд 56Оформление результатов классификации ИСПДн (2)
В Акте классификации необходимо привести с

соответствующим обоснованием значения всех восьми классификационных признаков ИСПДн и установленный класс ИСПДн:
Категория обрабатываемых в информационной системе персональных данных – Хпд.
Объем обрабатываемых персональных данных (количество субъектов персональных данных, персональные данные которых обрабатываются в информационной системе) – Хнпд.
Заданные оператором характеристики безопасности персональных данных, обрабатываемых в ИС.
Структура информационной системы.
Наличие подключений информационной системы к сетям связи общего пользования и (или) сетям международного информационного обмена.
Режим обработки персональных данных.
Режим разграничения прав доступа пользователей информационной системы.
Местонахождение технических средств ИСПДн.


Слайд 57Разработка ЧТЗ на СЗПДн
По результатам предпроектного обследования на основе РД ФСТЭК

России с учетом установленного класса ИСПДн задаются конкретные требования по обеспечению безопасности ПДн, включаемые в ТЗ (ЧТЗ) задание на разработку СЗПДн.

ТЗ (ЧТЗ) должно содержать:
обоснование разработки СЗПДн;
исходные данные создаваемой (модернизируемой) ИСПДн в техническом, программном, информационном и организационном: аспектах, класс ИСПДн;
ссылку на нормативные документы, с учетом которых будет разрабатываться СЗПДн и приниматься в эксплуатацию ИСПДн;
конкретизацию мероприятий и требований к СЗПДн;
перечень предполагаемых к использованию сертифицированных СЗИ;
обоснование проведения разработок собственных средств защиты информации при невозможности или нецелесообразности использования имеющихся на рынке сертифицированных средств защиты информации;
состав, содержание и сроки проведения работ по этапам разработки и внедрения СЗПДн.



Слайд 58Рекомендуемый алгоритм определения требований по обеспечению безопасности ПДн в ИСПДн


Слайд 59Пути минимизации затрат на создание СЗПДн (снижения уровня требований)

максимальное использование возможностей

уже имеющихся в ИС средств защиты информации, а также возможностей ОС и прикладного ПО, сертифицированных или имеющих перспективы сертификации в системах сертификации ФСТЭК России или ФСБ России;
принятие дополнительных мер, позволяющих снизить требования к части ИСПДн или сегментам сети, где такие ИСПДн расположены;
сокращение количества персонала (АРМ), обрабатывающих ПДн, разделение функций, минимизирующее возможность одновременной обработки ПДн из разных систем;
обезличивание части ИСПДн (переход на абонентские и табельные номера, номера лицевых счетов и т.п.);
разделение ИС сертифицированными межсетевыми экранами на отдельные сегменты (ИСПДн), классификация каждого сегмента (ИСПДн) и снижения требований к части из них;
организация терминального доступа к ИСПДн;
исключение из ИСПДн части ПДн, хранение их на бумажных или иных носителях вне ИСПДн.


Слайд 60Конкретный состав мероприятий по защите ПДн в рамках каждой подсистемы определяется

в зависимости от класса ИСПДн и результатов моделирования угроз, а также результатов обследования ИСПДн.

Состав подсистем СЗПДн

Мероприятия по обеспечению безопасности ПДн определяются на основе РД ФСТЭК России и реализуются в рамках следующих подсистем СЗПДн:
управления доступом
регистрации и учёта
обеспечения целостности
криптографической защиты
антивирусной защиты
обнаружения вторжений
защиты от утечки за счёт ПЭМИН (для ИС 1 и 2 классов)


Слайд 61Стадия проектирования
разработка раздела, технического проекта на ИСПДн в части защиты информации;
монтажные

работы в соответствии с проектной документацией;
разработка мероприятий по защите информации в соответствии с предъявляемыми требованиями;
использование сертифицированных технических, программных и программно-технических средств защиты информации и их установка;
сертификация по требованиям безопасности информации программных средств защиты информации в случае, когда на рынке отсутствуют; требуемые сертифицированные средства защиты информации;
разработка и реализация разрешительной системы доступа пользователей к обрабатываемой на ИСПДн информации;
определение подразделений и назначение лиц, ответственных за эксплуатацию средств защиты информации с их обучением по направлению обеспечения безопасности ПДн;
разработка эксплуатационной документации на ИСПДн и средства защиты информации, а также, организационно-распорядительной документации по защите информации (приказов, инструкций и других документов);
выполнение других мероприятий, характерных для конкретных ИСПДн и направлений обеспечения безопасности ПДн.


Слайд 62Выбор средств защиты информации
Средства защиты информации, применяемые в информационных системах, в

установленном порядке проходят процедуру оценки соответствия.
П. 5 «Положения …» .

В настоящее время в составе СЗПДн должны использоваться сертифицированные СЗИ, рекомендованные для защиты ПДн и включённые в Государственный реестр СЗИ (www.fstec.ru).

Слайд 63Решение о необходимости обеспечения безопасности персональных данных с использованием криптосредств принимается

оператором

Наиболее вероятные случаи использования криптосредств

в системах, являющихся комплексами автоматизированных рабочих мест и (или) локальных информационных систем, объединенных в единую информационную систему средствами связи. Необходимость криптографической защиты информации возникает при передаче информации в среду, в которой она может оказаться доступной нарушителю, например - незащищенные от несанкционированного доступа средства хранения информации и каналы связи;
в системах, являющихся многопользовательскими, в которых в соответствии с моделью угроз введено разграничение прав доступа пользователей и возможно наличие инсайдера, а безопасность хранения и обработки не может быть гарантированно обеспечена другими средствами;
в государственных информационных системах, в которых в соответствии с Федеральным законом № 149-ФЗ от 27 июля 2006 г. «Об информации, информационных технологиях и о защите информации» требования о криптографической защите информации устанавливаются ФСБ России.


Слайд 64Стадия ввода в эксплуатацию
установка прикладных программ в комплексе с программными средствами

защиты информации;
опытная эксплуатация средств защиты информации в комплексе с другими техническими и программными средствами в целях проверки их работоспособности в составе ИСПДн и отработки ПДн;
приемо-сдаточные испытания средств защиты, информации по результатам опытной эксплуатации;
организация охраны и физической защиты помещений ИСПДн, исключающих несанкционированный доступ к техническим средствам ИСПДн, их хищение и нарушение работоспособности, хищение носителей информации;
оценка соответствия ИСПДн требованиям безопасности ПДн.

Слайд 65Аттестация ИСПДн – официальное подтверждение наличия на объекте защиты необходимых и

достаточных условий, обеспечивающих выполнение установленных требований руководящих документов по защите ПДн.

Порядок оценки соответствия ИСПДн требованиям безопасности (1)

Устанавливается следующий порядок оценки ИСПДн требованиям безопасности:

ИСПДн 1 и 2 класса и специальных ИСПДн – обязательная сертификация (аттестация)
ИСПДн 3 класса – декларирование соответствия или обяза-тельная сертификация (аттестация) (по решению оператора);
ИСПДн 4 класса – оценка проводится по решению оператора


Слайд 66Правом проведения аттестации и выдачи аттестата соответствия обладают организации, имеющие лицензию

на право оказания услуг по технической защите конфиденциальной информации в соответствии с Постановлением Правительства РФ 2006 г. № 504.

Порядок оценки соответствия ИСПДн требованиям безопасности (2)

Общий порядок проведения аттестации объектов информатизации, установлен следующими нормативными документами ФСТЭК России:
Положение по аттестации объектов информатизации по требованиям безопасности информации, утвержденное председателем Гостехкомиссии России 25 ноября 1994 г.
Специальные требования и рекомендации по технической защите конфиденциальной информации (СТР-К). Утверждены приказом Гостехкомиссии России от 30.08.2002 г. № 282.


Слайд 67Документация СЗПДн
Положение по организации и проведению работ по обеспечению безопасности ПДн

при их обработке в ИСПДн.
Модель угроз безопасности персональных данных.
Акт классификации ИСПДн.
Заключение о возможности эксплуатации средств защиты информации (разрабатывается по результатам проверки готовности к использованию СЗИ) (Аналог приёмо-сдаточной документация на СЗИ)
Перечень применяемых средств защиты информации.
Описание системы защиты персональных данных.
Список лиц, доступ которых к персональным данным, обрабатываемым в информационной системе, необходим для выполнения служебных (трудовых) обязанностей (утверждается оператором или уполномоченным лицом).
Правила пользования средствами защиты информации, предназначенными для обеспечения безопасности персональных данных.
Требования по обеспечению безопасности ПДн при их обработке в ИСПДн.
Должностные инструкции персоналу ИСПДн в части обеспечения безопасности ПДн при их обработке в ИСПДн.
Рекомендации (инструкции) по использованию программных и аппаратных средств защиты информации.

Слайд 68Положение по организации и проведению работ по обеспечению безопасности ПДн при

их обработке в ИСПДн Перечень отражаемых вопросов:

Порядок привлечения подразделений организации, специализированных сторонних организаций к разработке и эксплуатации ИСПДн и СЗИ, их задачи и функции на различных стадиях создания и эксплуатации ИСПДн и её СЗПДн;
Порядок взаимодействия всех занятых в этой работе организаций, подразделений и специалистов;
Порядок разработки, ввода в действие и эксплуатацию ИСПДн (объектов информатизации, входящих в её состав);
Ответственность должностных лиц за своевременность и качество формирования требований по защите информации, за качество и научно-технический уровень разработки СЗПДн.


Слайд 69Контроль и надзор за выполнением требований по обеспечению безопасности ПДн (1)
Обеспечение

контроля и надзора за соответствием обработки персональных данных требованиям Федерального закона возлагается на федеральный орган исполнительной власти, осуществляющий функции по контролю и надзору в сфере информационных технологий и связи (Роскомнадзор).
(Ст. 23, ч. 1 ФЗ № 152)

Контроль и надзор за выполнением технических требований по защите ПДн осуществляются ФСБ России и ФСТЭК России в пределах их полномочий и без права ознакомления с персональными данными, обрабатываемыми в ИСПДн.
(Ст. 19, ч. 3 ФЗ № 152)


Слайд 70Контроль и надзор за выполнением требований по обеспечению безопасности ПДн (2)
Достаточность

принятых мер по обеспечению безопасности персональных данных при их обработке в информационных системах оценивается при проведении государственного контроля и надзора.
(П. 3 «Положения..» (Постановление Правительства РФ 2007г. № 781)

Порядок осуществления государственного контроля и надзора будет установлен специальным нормативным актом «Порядком осуществления контроля и надзора за соблюдением требований законодательства РФ в области защиты персональных данных», вводимым в действие совместным приказом Минкомсвязи России, ФСБ Росси и ФСТЭК России.
Ориентировочный срок введения в действия – 2-3 кв.2009 г.



Слайд 71СПАСИБО за внимание!


Обратная связь

Если не удалось найти и скачать презентацию, Вы можете заказать его на нашем сайте. Мы постараемся найти нужный Вам материал и отправим по электронной почте. Не стесняйтесь обращаться к нам, если у вас возникли вопросы или пожелания:

Email: Нажмите что бы посмотреть 

Что такое ThePresentation.ru?

Это сайт презентаций, докладов, проектов, шаблонов в формате PowerPoint. Мы помогаем школьникам, студентам, учителям, преподавателям хранить и обмениваться учебными материалами с другими пользователями.


Для правообладателей

Яндекс.Метрика