Организация работы по защите персональных данных в краевых специальных (коррекционных) образовательных учреждениях и образовательных учреждениях для детей-сирот и детей, оставшихся без попечения родителей Лавренко Михаил Иванович, главный специалист отдела информатизации и новых технологий министерства образования и науки Хабаровского края
Нормативные правовые акты, устанавливающие требования по защите персональных данных Конституция Российской Федерации (ст. 23, 24) Федеральные законы – Федеральный закон от ФЗ «О ратификации Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных»; – Федеральный закон от ФЗ «Об информации, информационных технологиях и о защите информации»; – Федеральный закон Российской Федерации от ФЗ «О персональных данных»; – Трудовой кодекс Российской Федерации от ФЗ (Глава 14 «Защита персональных данных работника»)
Федеральный закон Российской Федерации от ФЗ «О персональных данных» Статья 19. Меры по обеспечению безопасности персональных данных при их обработке 1. Оператор при обработке персональных данных обязан принимать необходимые организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных, а также от иных неправомерных действий. 2. Правительство Российской Федерации устанавливает требования к обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных.
Федеральный закон Российской Федерации от ФЗ «О персональных данных» Статья 25. Заключительные положения 3. Информационные системы персональных данных, созданные до 1 января 2011 года, должны быть приведены в соответствие с требованиями настоящего Федерального закона не позднее 1 июля 2011 года. (часть 3 в ред. Федерального закона от N 359-ФЗ)
Нормативные правовые акты, устанавливающие требования по защите персональных данных Постановления Правительства Российской Федерации – Постановление Правительства Российской Федерации от «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных»; – Постановление Правительства Российской Федерации от «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»
Постановление Правительства Российской Федерации от «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных» Устанавливает требования к обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных (ИСПДн) ИСПДн - совокупность персональных данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных с использованием средств автоматизации
Постановление Правительства Российской Федерации от «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных» Безопасность персональных данных достигается путем исключения несанкционированного, в том числе случайного, доступа к персональным данным, результатом которого может стать уничтожение, изменение, блокирование, копирование, распространение персональных данных, а также иных несанкционированных действий. Безопасность персональных данных обеспечивается системой защиты персональных данных (= организационные меры + средства защиты информации)
Постановление Правительства Российской Федерации от «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных» Методы и способы защиты информации в информационных системах устанавливаются ФСТЭК и ФСБ РФ в пределах их полномочий (Приказ ФСТЭК России от «Об утверждении Положения о методах и способах защиты информации в информационных системах персональных данных») Решением ФСТЭК России от года отменено применение с методических документов ФСТЭК России: - Основные мероприятия по организации и техническому обеспечению безопасности персональных данных, обрабатываемых в информационных системах персональных данных (утв. ФСТЭК России ) - Рекомендации по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных (утв. ФСТЭК России )
Постановление Правительства Российской Федерации от «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных» Не действуют требования: Оценка соответствия ИСПДн требованиям безопасности ПДн проводится в виде: для ИСПДн 1 и 2 классов – обязательной сертификации (аттестации) по требованиям безопасности информации; для ИСПДн 3 класса – декларирования соответствия требованиям безопасности информации. Достаточность принятых мер по обеспечению безопасности персональных данных при их обработке в информационных системах оценивается при проведении государственного контроля и надзора
Постановление Правительства Российской Федерации от «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных» Средства защиты информации, применяемые в информационных системах, в установленном порядке проходят процедуру оценки соответствия fstec.ru
Постановление Правительства Российской Федерации от «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных» Информационные системы классифицируются в зависимости от объема обрабатываемых ими персональных данных и угроз безопасности жизненно важным интересам личности, общества и государства (Приказ ФСТЭК России, ФСБ России, Мининформсвязи России от /86/20 «Об утверждении Порядка проведения классификации информационных систем персональных данных»)
Постановление Правительства Российской Федерации от «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных» При обработке персональных данных в информационной системе должно быть обеспечено: а) проведение мероприятий, направленных на предотвращение несанкционированного доступа к персональным данным б) своевременное обнаружение фактов несанкционированного доступа к персональным данным в) недопущение воздействия на технические средства автоматизированной обработки персональных данных, в результате которого может быть нарушено их функционирование г) возможность незамедлительного восстановления персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним д) постоянный контроль за обеспечением уровня защищенности персональных данных
Постановление Правительства Российской Федерации от «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных» Мероприятия по обеспечению безопасности персональных данных при их обработке в информационных системах включают в себя: а) определение угроз безопасности персональных данных при их обработке, формирование на их основе модели угроз «Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных» (Утв. ФСТЭК России ) «Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных» (Утв. ФСТЭК России )
Постановление Правительства Российской Федерации от «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных» Мероприятия по обеспечению безопасности персональных данных при их обработке в информационных системах включают в себя: б) разработку на основе модели угроз системы защиты персональных данных, обеспечивающей нейтрализацию предполагаемых угроз с использованием методов и способов защиты персональных данных, предусмотренных для соответствующего класса информационных систем Приказ ФСТЭК России от «Об утверждении Положения о методах и способах защиты информации в информационных системах персональных данных»
Постановление Правительства Российской Федерации от «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных» Мероприятия по обеспечению безопасности персональных данных при их обработке в информационных системах включают в себя: в) проверку готовности средств защиты информации к использованию с составлением заключений о возможности их эксплуатации г) установку и ввод в эксплуатацию средств защиты информации в соответствии с эксплуатационной и технической документацией д) обучение лиц, использующих средства защиты информации, применяемые в информационных системах, правилам работы с ними е) учет применяемых средств защиты информации, эксплуатационной и технической документации к ним, носителей персональных данных ж) учет лиц, допущенных к работе с персональными данными в информационной системе
Постановление Правительства Российской Федерации от «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных» Мероприятия по обеспечению безопасности персональных данных при их обработке в информационных системах включают в себя: з) контроль за соблюдением условий использования средств защиты информации, предусмотренных эксплуатационной и технической документацией; и) разбирательство и составление заключений по фактам несоблюдения условий хранения носителей персональных данных, использования средств защиты информации, которые могут привести к нарушению конфиденциальности персональных данных или другим нарушениям, приводящим к снижению уровня защищенности персональных данных, разработку и принятие мер по предотвращению возможных опасных последствий подобных нарушений; к) описание системы защиты персональных данных
Постановление Правительства Российской Федерации от «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных» Лица, доступ которых к персональным данным, обрабатываемым в информационной системе, необходим для выполнения служебных (трудовых) обязанностей, допускаются к соответствующим персональным данным на основании списка, утвержденного оператором или уполномоченным лицом.
Приказ ФСТЭК России, ФСБ России, Мининформсвязи России от /86/20 «Об утверждении Порядка проведения классификации информационных систем персональных данных» категория 1 - персональные данные, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных и философских убеждений, состояния здоровья, интимной жизни; категория 2 - персональные данные, позволяющие идентифицировать субъекта персональных данных и получить о нем дополнительную информацию, за исключением персональных данных, относящихся к категории 1; категория 3 - персональные данные, позволяющие идентифицировать субъекта персональных данных; категория 4 - обезличенные и (или) общедоступные персональные данные. Категория обрабатываемых персональных данных (Х ПД )
Приказ ФСТЭК России, ФСБ России, Мининформсвязи России от /86/20 «Об утверждении Порядка проведения классификации информационных систем персональных данных» Объем обрабатываемых персональных данных (Х НПД ) 1 - в информационной системе одновременно обрабатываются персональные данные более чем субъектов персональных данных или персональные данные субъектов персональных данных в пределах субъекта Российской Федерации или Российской Федерации в целом; 2 - в информационной системе одновременно обрабатываются персональные данные от 1000 до субъектов персональных данных или персональные данные субъектов персональных данных, работающих в отрасли экономики Российской Федерации, в органе государственной власти, проживающих в пределах муниципального образования; 3 - в информационной системе одновременно обрабатываются данные менее чем 1000 субъектов персональных данных или персональные данные субъектов персональных данных в пределах конкретной организации.
Приказ ФСТЭК России, ФСБ России, Мининформсвязи России от /86/20 «Об утверждении Порядка проведения классификации информационных систем персональных данных» По заданным оператором характеристикам безопасности персональных данных, обрабатываемых в информационной системе, информационные системы подразделяются на типовые и специальные информационные системы. Типовые информационные системы - информационные системы, в которых требуется обеспечение только конфиденциальности персональных данных. Специальные информационные системы - информационные системы, в которых вне зависимости от необходимости обеспечения конфиденциальности персональных данных требуется обеспечить хотя бы одну из характеристик безопасности персональных данных, отличную от конфиденциальности (защищенность от уничтожения, изменения, блокирования, а также иных несанкционированных действий). К специальным информационным системам должны быть отнесены: информационные системы, в которых обрабатываются персональные данные, касающиеся состояния здоровья субъектов персональных данных; информационные системы, в которых предусмотрено принятие на основании исключительно автоматизированной обработки персональных данных решений, порождающих юридические последствия в отношении субъекта персональных данных или иным образом затрагивающих его права и законные интересы.
Приказ ФСТЭК России, ФСБ России, Мининформсвязи России от /86/20 «Об утверждении Порядка проведения классификации информационных систем персональных данных» По структуре информационные системы подразделяются: на автономные (не подключенные к иным информационным системам) комплексы технических и программных средств, предназначенные для обработки персональных данных (автоматизированные рабочие места) на комплексы автоматизированных рабочих мест, объединенных в единую информационную систему средствами связи без использования технологии удаленного доступа (локальные информационные системы) на комплексы автоматизированных рабочих мест и (или) локальных информационных систем, объединенных в единую информационную систему средствами связи с использованием технологии удаленного доступа (распределенные информационные системы)
Приказ ФСТЭК России, ФСБ России, Мининформсвязи России от /86/20 «Об утверждении Порядка проведения классификации информационных систем персональных данных» По наличию подключений к сетям связи общего пользования и (или) сетям международного информационного обмена информационные системы подразделяются на системы, имеющие подключения, и системы, не имеющие подключений По режиму обработки персональных данных в информационной системе информационные системы подразделяются на однопользовательские и многопользовательские По разграничению прав доступа пользователей информационные системы подразделяются на системы без разграничения прав доступа и системы с разграничением прав доступа
Приказ ФСТЭК России, ФСБ России, Мининформсвязи России от /86/20 «Об утверждении Порядка проведения классификации информационных систем персональных данных» класс 1 (К1) - информационные системы, для которых нарушение заданной характеристики безопасности персональных данных, обрабатываемых в них, может привести к значительным негативным последствиям для субъектов персональных данных; класс 2 (К2) - информационные системы, для которых нарушение заданной характеристики безопасности персональных данных, обрабатываемых в них, может привести к негативным последствиям для субъектов персональных данных; класс 3 (К3) - информационные системы, для которых нарушение заданной характеристики безопасности персональных данных, обрабатываемых в них, может привести к незначительным негативным последствиям для субъектов персональных данных; класс 4 (К4) - информационные системы, для которых нарушение заданной характеристики безопасности персональных данных, обрабатываемых в них, не приводит к негативным последствиям для субъектов персональных данных. Хнпд/Хпд321 категория 4К4 категория 3КЗ К2 категория 2КЗК2К1 категория 1К1
Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных (Утв. ФСТЭК России ) 6.3. Типовая модель угроз безопасности персональных данных, обрабатываемых в локальных информационных системах персональных данных, не имеющих подключения к сетям связи общего пользования и (или) сетям международного информационного обмена Угрозы утечки информации по техническим каналам, в том числе: o угрозы утечки акустической (речевой) информации; o угрозы утечки видовой информации; o угрозы утечки информации по каналу ПЭМИН; Угрозы несанкционированного доступа к персональным данным, обрабатываемым в автоматизированном рабочем месте, в том числе: o угрозы анализа сетевого трафика с перехватом передаваемой по сети информации; o угрозы выявления паролей; o угрозы удаленного запуска приложений; угрозы внедрения по сети вредоносных программ
Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных Возможность реализации угрозы Показатель опасности угрозы низкаясредняявысокая Низкаянеактуальная актуальная Средняянеактуальнаяактуальная Высокаяактуальная Очень высокаяактуальная
Приказ ФСТЭК России от «Об утверждении Положения о методах и способах защиты информации в информационных системах персональных данных» Приложение к Положению о методах и способах защиты информации в информационных системах персональных данных МЕТОДЫ И СПОСОБЫ ЗАЩИТЫ ИНФОРМАЦИИ ОТ НЕСАНКЦИОНИРОВАННОГО ДОСТУПА В ЗАВИСИМОСТИ ОТ КЛАССА ИНФОРМАЦИОННОЙ СИСТЕМЫ
Информационное письмо министерства образования и науки от «Об обеспечении защиты персональных данных» Перечень специализированных организаций, имеющих лицензию на проведение работ в области защиты информации 1.ООО «Дальневосточный Специализированный Центр Безопасности Информации «МАСКОМ» 2.ЗАО «ЛАНИТ-ПАРТНЕР» 3.Хабаровский научно-технический центр филиал ФГУП «НПП «Гамма» 4.ООО ДРСЦ «КомпьюЛинк» 5.ОАО «Амурская ЭРА»
Информационное письмо министерства образования и науки от т «О выполнении требований по защите персональных данных» 1.Примерный перечень мероприятия по созданию системы защиты персональных данных 2.Перечень документов по организации работы по защите персональных данных
Планирование организационно-технических мероприятий по защите персональных данных Управление системой защиты Проведение совещаний при руководителе по вопросам защиты информации; Проведение занятия с работниками по вопросам информационной безопасности; Планирование финансовых средств на защиту информации; Разработка распорядительной документации учреждения по защите информации;
Планирование организационно-технических мероприятий по защите персональных данных Организационные мероприятия Проведение классификации информационной системы персональных данных; Определение круга лиц, имеющих доступ к защищаемой информации, и порядка их работы; Анализ физической и технической защищенности информационных ресурсов; Проведение опытной эксплуатации созданной информационной системы персональных данных; Анализ журналов регистрации системных событий, выявление попыток несанкционированных действий на созданном защищенном объекте; Проверка работоспособности, размещения и состава основных и вспомогательных технических средств на объектах информатизации; Проверка работоспособности технических средств защиты информации на объектах информатизации; Ввод созданной информационной системы персональных данных в эксплуатацию;
Планирование организационно-технических мероприятий по защите персональных данных Технические Установка средств антивирусного контроля; Установка на персональные компьютеры технических средств защиты; Установка средств резервного копирования информационных ресурсов; Резервное копирование информационных ресурсов; Смена паролей доступа к защищаемым информационным ресурсам;