Защита персональных данных Изменение законодательства и преемственность организационно-технических решений Сафонов Сергей Александрович заместитель начальника отдела по информационной безопасности ФГБУ «Федеральный центр тестирования» 2013 г.
Законодательные и нормативно – правовые документы, регламентирующие вопросы защиты персональных данных Проекты документов ФСТЭК России, регламентирующих требования о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах Содержание
Федеральный закон от 27 июля 2006 г. 149-ФЗ «Об информации, информационных технологиях и о защите информации» Федеральный закон от 27 июля 2006 г. 152-ФЗ «О персональных данных» Постановление Правительства РФ от 01 ноября 2012 г. 1119г. «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных» Проекты Приказов ФСТЭК России «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных» и «Об утверждении требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах» Нормативная база
В соответствии с Постановлением Правительства РФ от 01 ноября 2012 г. 1119г. признано утратившим силу постановление Правительства Российской Федерации от 17 ноября 2007 г. 781 «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных». Во исполнение Постановления Правительства РФ от 01 ноября 2012 г. 1119г. ФСТЭК России подготовлены и находятся на согласовании в Минюсте: - Приказ ФСТЭК России «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных» - Приказ ФСТЭК России «Об утверждении требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах» Нормативная база
Проведенный анализ проектов нормативных документов ФСТЭК России показывает, что в целом подход к защите ПДн остается прежним, за исключением того, что выбор мер и средств защиты ИСПДн осуществляется операторами исходя из актуальности угроз и необходимости обеспечения требуемого уровня защищенности. Для ПДн, обрабатываемых в государственных информационных системах выполнение требований о защите информации является обязательным. Меры по обеспечению безопасности персональных данных в государственных информационных системах принимаются в соответствии с требованиями о защите информации, не содержащей государственную тайну, содержащейся в государственных информационных системах, устанавливаемыми ФСТЭК России в пределах своих полномочий. Анализ изменений
Постановление 1119 устанавливает 4-е уровня защищенности ПДн в зависимости от типа угроз, актуальных для информационной системы Типы угрозХарактеристика Угрозы 1-го типа Актуальны для информационной системы, если для нее в том числе актуальны угрозы, связанные с наличием недокументированных (недекларированных) возможностей в системном программном обеспечении, используемом в информационной системе Угрозы 2-го типа Актуальны для информационной системы, если для нее в том числе актуальны угрозы, связанные с наличием недокументированных (недекларированных) возможностей в прикладном программном обеспечении, используемом в информационной системе Угрозы 3-го типа Актуальны для информационной системы, если для нее актуальны угрозы, не связанные с наличием недокументированных (недекларированных) возможностей в системном и прикладном программном обеспечении, используемом в информационной системе Типы угроз
Федеральная и региональные информационные системы являются государственными информационными системами. Обладателем информации, содержащейся в федеральной информационной системе, является Российская Федерация. От имени Российской Федерации правомочия обладателя информации, содержащейся в указанной системе, осуществляются Федеральной службой по надзору в сфере образования и науки Требования Постановления Правительства РФ от 27 января 2012 г. 36 «Об утверждении правил формирования и ведения федеральной информационной системы обеспечения проведения единого государственного экзамена и приема граждан в образовательные учреждения среднего профессионального образования и образовательные учреждения высшего профессионального образования и региональных информационных систем обеспечения проведения единого государственного экзамена»
В соответствии с проектом Приказа ФСТЭК России «Об утверждении требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах» При обработке в государственной информационной системе информации, содержащей персональные данные, для обеспечения первого уровня защищенности персональных данных, установленного в соответствии с Требованиями к защите персональных при их обработке в информационных системах персональных данных, утвержденными постановлением Правительства Российской Федерации от 1 ноября 2012 г. 1119, государственной информационной системе не может быть присвоен класс защищенности ниже чем К1. Для второго уровня - ниже чем К2. Для третьего уровня - ниже чем К3. Для четвертого уровня - К4 или боле высокий. Критерии классификации государственных информационных систем
Система защиты включает следующие меры защиты информации: - обеспечение доверенной загрузки; - идентификацию и аутентификацию субъектов доступа и объектов доступа; - управление доступом субъектов доступа к объектам доступа; - ограничение программной среды; - защиту машинных носителей информации; - регистрацию событий безопасности; - обеспечение целостности информационной системы и информации; - защиту среды виртуализации; - защиту технических средств; - защиту информационной системы, ее средств и систем связи и передачи данных. Требования к системе защиты ПДн в государственных информационных системах
Концепция защиты информации (ПДн) ФИС ЕГЭ и приема не изменилась Региональные информационные системы взаимодействуют с ФИС по прежней схеме с обеспечением выполнения требований по информационной безопасности Выводы
Федеральное государственное бюджетное учреждение «Федеральный центр тестирования» Юридический и почтовый адрес: , Москва, Ленинский проспект, д. 2а Спасибо за внимание ! +7 (495) секретариат