ЭТАПЫ ПРОВЕДЕНИЯ РАБОТ ПО ОБЕСПЕЧЕНИЮ БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ: КОМПЛЕКСНОЕ ОБСЛЕДОВАНИЕ И РАЗРАБОТКА КОМПЛЕКТА ОРГАНИЗАЦИОННО-РАСПОРЯДИТЕЛЬНЫХ ДОКУМЕНТОВ, ПОСТРОЕНИЕ СИСТЕМЫ ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ, АТТЕСТАЦИЯ
ОБЩИЕ СВЕДЕНИЯ Федеральный закон от 27 июля 2006 г. 152-ФЗ «О персональных данных» определяет: 1. Основные понятия, связанные с обработкой персональных данных; 2. Принципы и условия обработки персональных данных; 3. Обязанности оператора; 4. Права субъекта персональных данных; 5. Виды ответственности за нарушение требований, установленных Федеральным законом 152-ФЗ; 6. Государственные органы, осуществляющие контроль и надзор за соблюдением требований, установленных Федеральным законом 152-ФЗ. 2
ОСНОВНЫЕ ПОНЯТИЯ 3 ПЕРСОНАЛЬНЫЕ ДАННЫЕ (ПДн) - любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация ОПЕРАТОР - государственный орган, муниципальный орган, юридическое или физическое лицо, организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели и содержание обработки персональных данных
ОСНОВНЫЕ ПОНЯТИЯ ИНФОРМАЦИОННАЯ СИСТЕМА ПЕРСОНАЛЬНЫХ ДАННЫХ (ИСПДн) - информационная система, представляющая собой совокупность персональных данных, содержащихся в базе данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных с использованием средств автоматизации или без использования таких средств ОБРАБОТКА ПЕРСОНАЛЬНЫХ ДАННЫХ - действия (операции) с персональными данными, включая сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передачу), обезличивание, блокирование, уничтожение персональных данных 4
5 ПРИНЦИПЫ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ 1.Цель и способы обработки персональных данных должны быть законными. 2.Цель обработки персональных данных должна соответствовать цели, заявленной при сборе персональных данных, а также полномочиям оператора; 3.Объем, характер и способы обработки персональных данных должны соответствовать целям обработки персональных данных; 4.Обрабатываемые персональные данные должны быть достоверными, достаточными для заявленных целей обработки, но не избыточными; 5.Объединение созданных для несовместимых между собой целей баз данных информационных систем персональных данных недопустимо.
6 ТРЕБОВАНИЯ ПО ОБЕСПЕЧЕНИЮ БЕЗОПАСНОСТИ ПДн Требования к обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, требования к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных устанавливаются Правительством Российской Федерации (ч.1 ст.22). Постановление Правительства РФ от «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных» Постановление Правительства РФ от «Об утверждении требований к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных» Постановление Правительства РФ от «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»
7 В соответствии ст.19 Федерального закона «оператор при обработке персональных данных обязан принимать необходимые организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных, а также от иных неправомерных действий». В соответствии с ч.3 ст.25 Федерального закона информационные системы персональных данных, созданные до дня вступления в силу настоящего Федерального закона, должны быть приведены в соответствие с требованиями Федерального закона не позднее 1 января 2011 года. За нарушение требований Федерального закона законодательством Российской Федерации предусмотрена уголовная (статьи 137, 140, 272 УК РФ) и административная (статьи 5.39, 13.11, КоАП РФ) ответственность. ТРЕБОВАНИЯ ФЗ «О ПЕРСОНАЛЬНЫХ ДАННЫХ»
Контроль и надзор за соответствием обработки персональных данных требованиям Федерального закона 152-ФЗ Контроль и надзор за выполнением требований к обеспечению безопасности ПДн при их обработке в ИСПДн, требований к материальным носителям биометрических ПДн и технологиям хранения таких данных вне ИСПДн КОНТРОЛЬ И НАДЗОР Федеральным законом от г. 152-ФЗ «О персональных данных» установлены 3 органа государственной власти, уполномоченных осуществлять мероприятия по контролю и надзору в отношении операторов, осуществляющих обработку персональных данных: ФСТЭК РОССИИ (требования по защите информации от несанкционированного доступа и утечки техническим каналам) ФСБ РОССИИ (требования в области криптографии) РОСКОМНАДЗОР (уполномоченный орган по защите прав субъектов персональных данных) 8
ПЕРСОНАЛЬНЫЕ ДАННЫЕ РОСКОМНАДЗОР СУБЪЕКТ ПЕРСОНАЛЬНЫХ ДАННЫХ (физическое лицо) Регистрация, контроль и надзор ОБЩАЯ СХЕМА ВЗАИМОДЕЙСТВИЯ Защита прав ФСТЭК РОССИИФСБ РОССИИ Контроль и надзор - государственный орган; - муниципальный орган; - юридическое лицо; - физическое лицо ОПЕРАТОР Обработка персональных данных Фамилия, имя, отчество, год, месяц, дата рождения и т.д. ОСНОВНЫЕ ПДн Расовая принадлежность, национальная принадлежность, политические взгляды и т.д. СПЕЦИАЛЬНЫЕ ПДн Сведения, которые характеризуют физиологические особенности человека и на основе которых можно установить его личность БИОМЕТРИЧЕСКИЕ ПДн 9
10 ДОКУМЕНТЫ ФСТЭК РОССИИ Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных" от 15 февраля 2008 года Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных" от 15 февраля 2008 года Приказ ФСТЭК России от «Об утверждении Положения о методах и способах защиты информации в информационных системах персональных данных» Решением ФСТЭК России от отменены: Основные мероприятия по организации и техническому обеспечению безопасности персональных данных, обрабатываемых в информационных системах персональных данных" от 15 февраля 2008 года Рекомендации по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных" от 15 февраля 2008 года
11 ОБЩИЙ ПОРЯДОК ПРОВЕДЕНИЯ РАБОТ Работы проводятся в 3 этапа: Построение системы защиты персональных данных (СЗПДн) Комплексное обследование и подготовка организационно-распорядительных документов Проведение оценки соответствия ИСПДн требованиям безопасности информации (аттестация или декларирование)
12 ЭТАП I. КОМПЛЕКСНОЕ ОБСЛЕДОВАНИЕ ИСПДн 1. Встреча с сотрудниками, участвующими в обработке ПДн. 2. Изучение физических характеристик объекта (планов зданий, помещений). 3. Изучение технологических процессов обработки ПДн: - интервьюирование сотрудников; - изучение документов (учредительные документы, положения, должностные инструкции, профильные нормативно-правовые акты, договоры и т.д.). 4. Составление перечня ИСПДн. 5. Составление перечня ПДн и сотрудников, участвующих в обработке ПДн (для каждой ИСПДн).
13 ЭТАП I. КОМПЛЕКСНОЕ ОБСЛЕДОВАНИЕ ИСПДн 6. Анализ IT-инфраструктуры: - изучение карты сети; - изучение используемых прикладных систем; - компоновка карты сети и приложений; - изучение дополнительной документации по прикладным системам и техническим средствам. 7. Изучение и инспекция используемых мер и средств защиты: - составление перечня СЗИ; - инспекционная проверка мест установки СЗИ; - изучение документации к СЗИ. 8. Разработка описания технологических процессов обработки ПДн. 9. Разработка паспортов ИСПДн (общие характеристики ИСПДн, описание аппаратного и программного обеспечения АРМ, топологическая схема ИСПДн). 10. Разработка частных моделей угроз безопасности персональных данных при их обработке в ИСПДн.
14 КЛАССИФИКАЦИЯ ИСПДн Совместный приказ ФСТЭК, ФСБ, Мининформсвязи от /86/20 «Об утверждении Порядка проведения классификации информационных систем персональных данных» Класс специальной информационной системы определяется на основе модели угроз безопасности персональных данных в соответствии с соответствующими методическими документами ФСБ России и ФСТЭК России. Типовые информационные системы - информационные системы, в которых требуется обеспечение только конфиденциальности персональных данных. Специальные информационные системы - информационные системы, в которых вне зависимости от необходимости обеспечения конфиденциальности персональных данных требуется обеспечить хотя бы одну из характеристик безопасности персональных данных, отличную от конфиденциальности (защищенность от уничтожения, изменения, блокирования, а также иных несанкционированных действий). ЭТАП I. КОМПЛЕКСНОЕ ОБСЛЕДОВАНИЕ ИСПДн
15 Категория ПДн (Хпд) Объем обрабатываемых в ИСПДн персональных данных (Хнпд) 123 В информационной системе одновременно обрабатываются ПДн более чем субъектов персональных данных или ПДн субъектов персональных данных в пределах субъекта РФ или РФ в целом В информационной системе одновременно обрабатываются ПДн от 1000 до субъектов персональных данных или ПДн субъектов персональных данных, работающих в отрасли экономики РФ, в органе государственной власти, проживающих в пределах муниципального образования В информационной системе одновременно обрабатываются данные менее чем 1000 субъектов персональных данных или персональные данные субъектов персональных данных в пределах конкретной организации 1 ПДн, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных и философских убеждений, состояния здоровья, интимной жизни К1 2 ПДн, позволяющие идентифицировать субъекта персональных данных и получить о нем дополнительную информацию, за исключением ПДн, относящихся к категории 1 К1К2К3 3 ПДн, позволяющие идентифицировать субъекта персональных данных К2К3 4 Обезличенные и (или) общедоступные ПДн К4 ЭТАП I. КОМПЛЕКСНОЕ ОБСЛЕДОВАНИЕ ИСПДн
16 КЛАССИФИКАЦИЯ СПЕЦИАЛЬНОЙ ИСПДн В соответствии с документами ФСТЭК России Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных" от 15 февраля 2008 года и Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных" от 14 февраля 2008 года определяется перечень актуальных угроз безопасности. Если среди актуальных угроз безопасности ПДн есть : угрозы низкой опасности (реализация этих угроз может привести к незначительным негативным последствиям для субъектов персональных данных ) – это ИСПДн класса 3 (КЗ); угрозы средней опасности (реализация этих угроз может привести к негативным последствиям для субъектов персональных данных) ) – это ИСПДн класса 2 (К2); угрозы высокой опасности (реализация этих угроз может привести к значительным негативным последствиям для субъектов персональных данных) – это ИСПДн класса 1 (К1). ЭТАП I. КОМПЛЕКСНОЕ ОБСЛЕДОВАНИЕ ИСПДн
Классификация ИСПДн с учетом моделей угроз безопасности ПДн. 12. Подготовка проектов организационно-распорядительных документов: - Положение о защите персональных данных в организации; - Положение по организации и проведению работ по обеспечению безопасности ПДн при их обработке в ИСПДн; - Приказ о назначении администратора безопасности ИСПДн; - Инструкция администратора ИСПДн; - Инструкция пользователя ИСПДн; - Приказ о контролируемой зоне; - Матрица доступа (разрешительная система допуска) и т.д. 13. Подготовка рекомендаций по принятию организационных мер по защите ПДн. 14. Разработка технического задания на построение системы защиты персональных данных с рекомендациями по применению технических средств защиты информации. ЭТАП I. КОМПЛЕКСНОЕ ОБСЛЕДОВАНИЕ ИСПДн
18 ТЕХНИЧЕСКОЕ ЗАДАНИЕ НА РАЗРАБОТКУ СЗПДн ДОЛЖНО СОДЕРЖАТЬ: - обоснование разработки СЗПДн; - исходные данные создаваемой (модернизируемой) ИСПДн в техническом, программном, информационном и организационном аспектах; - класс ИСПДн; - ссылку на нормативные документы, с учетом которых будет разрабатываться СЗПДн и приниматься в эксплуатацию ИСПДн; - конкретизацию мероприятий и требований к СЗПДн; - перечень предполагаемых к использованию сертифицированных средств защиты информации; - состав, содержание и сроки проведения работ по этапам разработки и внедрения СЗПДн. ЭТАП I. КОМПЛЕКСНОЕ ОБСЛЕДОВАНИЕ ИСПДн
19 ЭТАП II. ПОСТРОЕНИЕ СИСТЕМЫ ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ 1. Разработка технического проекта СЗПДн. 2. Приобретение, установка и настройка сертифицированных технических, программных и программно-технических средств защиты информации. 3. Реализация разрешительной системы доступа пользователей ИСПДн к обрабатываемой на ИСПДн информации.
20 ЭТАП II. ПОСТРОЕНИЕ СИСТЕМЫ ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ 4. Определение подразделений и назначение лиц, ответственных за эксплуатацию средств защиты информации. 5. Корректировка (дополнение) организационно- распорядительной документации в части защиты информации (положений, приказов, паспортов ИСПДн, топологических схем, инструкций и других документов). 6. Приобретение, установка и настройка антивирусного программного обеспечения. 7. Приобретение, установка и настройка системы резервного копирования. 8. Организация охраны и физической защиты помещений ИСПДн (исключение несанкционированного доступа к техническим средствам ИСПДн)
21 ЭТАП II. ПОСТРОЕНИЕ СИСТЕМЫ ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ 1.Максимальное использование возможностей имеющихся в наличии средств защиты информации, операционных систем и прикладного программного обеспечения. 2.Сокращение числа сотрудников, обрабатывающих ПДн. 3.Частичное исключение ПДн. 4.Частичное обезличивание ПДн. 5.Сегментация ИСПДн (разделение информационной системы на части сертифицированными межсетевыми экранами (МЭ). 6.Организация терминального доступа к ИСПДн. 7.Частичная обработка ПДн вне ИСПДн (на бумажных носителях). МЕТОДЫ СНИЖЕНИЯ ЗАТРАТ НА СОЗДАНИЕ СЗПДн:
22 ЭТАП III. АТТЕСТАЦИЯ ИСПДн 1.Разработка программы и методики аттестационных испытаний. 2.Оценка эффективности защищенности информации от несанкционированного доступа (c применением специализированного программного обеспечения). 3.Объектовые специсследования ИСПДн. 4.Разработка комплекта документов по аттестации ИСПДн: - Предписание на эксплуатацию ИСПДн; - Протокол оценки защищенности информации от утечки по каналу НСД; - Протоколы оценки защищенности информации от утечки по техническим каналам; - Заключение по результатам аттестационных испытаний ИСПДн; - Аттестат соответствия ИСПДн требованиям по защите информации.
23 ЭТАП III. АТТЕСТАЦИЯ ИСПДн Автоматизированная система оценки защищенности технических средств от утечки информации по каналу ПЭМИН «Сигурд» Автоматизированная система измерения действующих высот случайных антенн и коэффициентов затухания электромагнитных сигналов «Стентор» Оборудование для аттестации Автоматизированная система оценки защищённости от утечки информации по вибрационному и акустическому каналам «Шепот»