В соответствии со статьей 19 Федерального закона «О персональных данных» Правительство Российской Федерации постановляет: Положение об обеспечении 1.

Презентация:



Advertisements
Похожие презентации
М.Ю.Емельянников Заместитель коммерческого директора НИП «ИНФОРМЗАЩИТА» Защита персональных данных: алгоритм для законопослушных банков ИНФОРМАЦИОННАЯ.
Advertisements

Персональные данные - любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу ( субъекту персональных.
Центр безопасности информации Оценка соответствия ИСПДн различных классов требованиям безопасности ПДн.
Организация работы по защите персональных данных в краевых специальных (коррекционных) образовательных учреждениях и образовательных учреждениях для детей-сирот.
Текущая ситуация Законодательство, нормативы ФЕДЕРАЛЬНЫЙ ЗАКОН РОССИЙСКОЙ ФЕДЕРАЦИИ ОТ 27 ИЮЛЯ 2006 Г. 152-ФЗ «О ПЕРСОНАЛЬНЫХ ДАННЫХ» ПОСТАНОВЛЕНИЕ ПРАВИТЕЛЬСТВА.
2009 г. Об обеспечении безопасности персональных данных с использованием шифровальных (криптографических) средств.
Практический опыт реализации требований по защите персональных данных МУ Информационно-методический центр Ходячих Андрей Викторович.
ВОПРОСЫ ЗАЩИТЫ ИНФОРМАЦИИ И ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ ПРИ ИХ ОБРАБОТКЕ В ИНФОРМАЦИОННЫХ СИСТЕМАХ В СВЯЗИ С ИЗДАНИЕМ ПРИКАЗА ФСТЭК РОССИИ.
Общий порядок действий оператора по выполнению требований Федерального закона от ФЗ «О персональных данных»
Проведение ведомственных выездных проверок организации защиты персональных данных при их обработке в учреждениях здравоохранения Челябинской области в.
Основные мероприятия по организации обеспечения безопасности персональных данных Выполнила студентка группы 11 инф 112: Анянова Радослава.
1 Статья 3. Основные понятия, используемые в настоящем Федеральном законе Статья 3. Основные понятия, используемые в настоящем Федеральном законе Персональные.
Защита персональных данных. Практический алгоритм проведения работ в организациях, учреждениях, на предприятиях Истомин Дмитрий
Законодательная и нормативная база правового регулирования вопросов защиты персональных данных. Руководящие документы по защите персональных данных Законодательная.
Лавренко Михаил Иванович, главный специалист отдела информатизации и новых технологий министерства образования и науки Хабаровского края Об изменениях.
Санкт-Петербург 2013год «Классификация информационных систем персональных данных»
Федеральный закон о персональных данных. Необходимо: 1.Получать разрешение на обработку и передачу персональных данных. 2.Уведомлять РОСКОМНАДЗОР о том,
Защита персональных данных в информационных системах 24 ноября 2010 года.
Информационная безопасность в защищенной корпоративной сети передачи данных (ЗКСПД) 2010 г. Начальник отдела по информационной безопасности ФГУ ФЦТ Начальник.
Управление ФСТЭК России по Сибирскому федеральному округу «О требованиях к защите персональных данных при их обработке в информационных системах персональных.
Транксрипт:

В соответствии со статьей 19 Федерального закона «О персональных данных» Правительство Российской Федерации постановляет: Положение об обеспечении 1. Утвердить Положение об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных. 2. ФСБ России и ФСТЭК России утвердить в пределах своей компетенции в 3-месячный срок нормативные правовые акты и методические документы, необходимые для выполнения требований, предусмотренных Положением, утвержденным настоящим постановлением. Правительство Российской Федерации Постановление от 17 ноября

При обработке персональных данных в информационной системе должно быть обеспечено: а) проведение мероприятий, направленных на предотвращение несанкционированного доступа к персональным данным и (или) передачи их лицам, не имеющим права доступа к такой информации; б) своевременное обнаружение фактов несанкционированного доступа к персональным данным; в) недопущение воздействия на технические средства автоматизированной обработки персональных данных, в результате которого может быть нарушено их функционирование; г) возможность незамедлительного восстановления персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним; д) постоянный контроль за обеспечением уровня защищенности персональных данных. 3

Мероприятия по обеспечению безопасности персональных данных при их обработке в информационных системах включают в себя: а) определение угроз безопасности ПДн при их обработке, формирование на их основе модели угроз; б) разработку на основе модели угроз системы защиты ПДн, обеспечивающей нейтрализацию предполагаемых угроз с использованием методов и способов защиты ПДн, предусмотренных для соответствующего класса информационных систем; в) проверку готовности средств защиты информации (СЗИ) к использованию с составлением заключений о возможности их эксплуатации; г) установку и ввод в эксплуатацию средств защиты информации в соответствии с эксплуатационной и технической документацией; д) обучение лиц, использующих СЗИ, применяемые в информационных системах, правилам работы с ними; е) учет применяемых СЗИ, эксплуатационной и технической документации к ним, носителей персональных данных; ж) учет лиц, допущенных к работе с ПДн в информационной системе; з) контроль за соблюдением условий использования СЗИ, предусмотренных эксплуатационной и технической документацией; и) разбирательство и составление заключений по фактам несоблюдения условий хранения носителей ПДн, использования СЗИ, которые могут привести к нарушению конфиденциальности ПДн или другим нарушениям, приводящим к снижению уровня защищенности ПДн, разработку и принятие мер по предотвращению возможных опасных последствий подобных нарушений; к) описание системы защиты ПДн. 4

Для разработки и осуществления мероприятий по обеспечению безопасности персональных данных при их обработке в информационной системе оператором или уполномоченным лицом может назначаться структурное подразделение или должностное лицо (работник), ответственные за обеспечение безопасности персональных данных. Лица, доступ которых к персональным данным, обрабатываемым в информационной системе, необходим для выполнения служебных (трудовых) обязанностей, допускаются к соответствующим персональным данным на основании списка, утвержденного оператором или уполномоченным лицом. 5

Определить и учесть информационные системы, в которых на законном основании обрабатываются ПДн граждан Провести классификацию информационных систем ПДн Разработать модели актуальных угроз безопасности ПДн По результатам классификации и на основе модели актуальных угроз разработать и реализовать систему защиты персональных данных, обрабатываемых в информационной системе с использованием установленных методов и способов защиты информации Организовать контроль за обеспечением безопасности персональных данных на подведомственных объектах 6

определить перечень обрабатываемых ПДн;определить перечень обрабатываемых ПДн; определить цель обработки;определить цель обработки; определить основание для обработки;определить основание для обработки; определить перечень сторонних организаций, которым будут передаваться ПДн;определить перечень сторонних организаций, которым будут передаваться ПДн; определить время, в течение которого будут обрабатываться ПДн;определить время, в течение которого будут обрабатываться ПДн; определить перечень действий которые будут совершаться с ПДн;определить перечень действий которые будут совершаться с ПДн; определить перечень лиц допущенных к обработке ПДн;определить перечень лиц допущенных к обработке ПДн; разработать технологию обработки ПДн;разработать технологию обработки ПДн; разработать перечень информационных систем ПДн.разработать перечень информационных систем ПДн. 7

Порядок классификации информационных систем персональных данных Приказ от 13 февраля 2008 года 55/86/20 ФСТЭК России ФСБ России Мининформсвязи России 8

класс 1 (К1) – ИС, для которых нарушение заданной характеристики безопасности ПДн, обрабатываемых в них, может привести к значительным негативным последствиям для субъектов ПДн; класс 2 (К2) - ИС, для которых нарушение заданной характеристики безопасности ПДн, обрабатываемых в них, может привести к негативным последствиям для субъектов ПДн; класс 3 (К3) - ИС, для которых нарушение заданной характеристики безопасности ПДн, обрабатываемых в них, может привести к незначительным негативным последствиям для субъектов ПДн; класс 4 (К4) - ИС, для которых нарушение заданной характеристики безопасности ПДн, обрабатываемых в них, не приводит к негативным последствиям для субъектов ПДн. 9

Определение категории обрабатываемых в ИС персональных данных (X пд = 1…4) Определение категории обрабатываемых в ИС персональных данных (X пд = 1…4) Определение объема обрабатываемых в ИС персональных данных (X нпд = 1…3) Определение объема обрабатываемых в ИС персональных данных (X нпд = 1…3) Класс ИС (1 класс, 2 класс, 3 класс, 4 класс) Класс ИС (1 класс, 2 класс, 3 класс, 4 класс) Акт оператора о присвоении класса ИС К1К1К1К1К1К111 К1К1К2К2К3К322 К2К2К3К3К3К333 К4К4К4К4К4К Х пд Хнпд Хнпд Х пд Хнпд Хнпд 10

ФСТЭК России Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных ФСТЭК России Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных 11

Угрозы могут быть реализованы ЗА СЧЕТ УТЕЧКИ ПДн ПО ТЕХНИЧЕСКИМ КАНАЛАМ: ТКУИ, обрабатываемой в ЭВМ, технические каналы перехвата информации при ее передаче по каналам связи, ТКУИ акустической (речевой) информации) ЗА СЧЕТ УТЕЧКИ ПДн ПО ТЕХНИЧЕСКИМ КАНАЛАМ: ТКУИ, обрабатываемой в ЭВМ, технические каналы перехвата информации при ее передаче по каналам связи, ТКУИ акустической (речевой) информации) ЗА СЧЕТ НЕСАНКЦИОНИРОВАННОГО ДОСТУПА к базам данных с использованием штатного или специально разработанного программного обеспечения ЗА СЧЕТ НЕСАНКЦИОНИРОВАННОГО ДОСТУПА к базам данных с использованием штатного или специально разработанного программного обеспечения ИСТОЧНИК УГРОЗЫ + УЯЗВИМОЕ ЗВЕНО = НАЛИЧИЕ УГРОЗЫ 12

Система защиты Система защиты Организа- ционные меры Организа- ционные меры СЗИ от несанкционированного доступа Средства защиты информации СЗИ от утечки по техническим каналам СЗИ от программно-технических воздействий Информ. технологии, применяемые в ИСПДн Криптографи- ческие Персональные данные Персональные данные Угроза 13

ФСТЭК России Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных ФСТЭК России Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных 14 ФСТЭК России Положение о методах и способах защиты информации в информационных системах персональных данных (Приказ ФСТЭК России от ) Зарегистрировано в Минюсте РФ

Методы и способы защиты информации от несанкционированного доступа Методы и способы защиты информации от утечки по техническим каналам 15

взаимодействие ИСПДн с сетями связи общего пользования; подключение ИСПДн к сетям связи общего пользования для получения общедоступной информации; удаленный доступ в ИСПДн через сеть связи общего пользования; межсетевое взаимодействие отдельных ИСПДн через сеть связи общего пользования; межсетевое взаимодействие отдельных ИСПДн разных операторов через сеть связи общего пользования. Межсетевые экраны, которые обеспечивают выполнение требований для ИПСДн 3 класса, применяются в распределенных информационных системах 2 и 1 классов при их разделении на отдельные части. 16

Средства антивирусной защиты, применяемые в ИСПДн 1 класса (так же, как и любое другое программное обеспечение средств защиты информации) должны пройти контроль отсутствия недекларированных возможностей. подключение ИСПДн к информационно- телекоммуникационным сетям международного информационного обмена (сетям связи общего пользования) АНТИВИРУСНАЯ ЗАЩИТА использование съемных носителей информации 17

Оператор при обработке персональных данных обязан принимать необходимые организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных, а также от иных неправомерных действий. (п.1, ст. 19, Федеральный закон 152-фз) Для выбора и реализации методов и способов защиты информации в информационной системе может привлекаться организация, имеющая оформленную в установленном порядке лицензию на осуществление деятельности по технической защите конфиденциальной информации. (п.1.3, Приказ ФСТЭК России 58) Для выбора и реализации методов и способов защиты информации в информационной системе может привлекаться организация, имеющая оформленную в установленном порядке лицензию на осуществление деятельности по технической защите конфиденциальной информации. (п.1.3, Приказ ФСТЭК России 58) Средства защиты информации, применяемые в информационных системах, в установленном порядке проходят процедуру оценки соответствия. (п.5, Постановление Правительства РФ 781) Результаты оценки соответствия и (или) тематических исследований средств защиты информации, предназначенных для обеспечения безопасности персональных данных при их обработке в информационных системах, оцениваются в ходе экспертизы, осуществляемой Федеральной службой по техническому и экспортному контролю и Федеральной службой безопасности Российской Федерации в пределах их полномочий. (п.18, Постановление Правительства РФ 781) 18

19