Защита персональных данных Изменение законодательства и преемственность организационно-технических решений Сафонов Сергей Александрович заместитель начальника.

Презентация:



Advertisements
Похожие презентации
Организационно-технологическое сопровождение государственной (итоговой) аттестации выпускников 9 и 11 классов в 2012 и 2013 гг. Негрей Евгений Александрович,
Advertisements

Администрация Тамбовской области 29 ноября Тамбов 2012 Выполнение законодательства Российской Федерации в области защиты персональных данных в органах.
ВОПРОСЫ ЗАЩИТЫ ИНФОРМАЦИИ И ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ ПРИ ИХ ОБРАБОТКЕ В ИНФОРМАЦИОННЫХ СИСТЕМАХ В СВЯЗИ С ИЗДАНИЕМ ПРИКАЗА ФСТЭК РОССИИ.
Внесение изменений в сведения в реестре операторов, осуществляющих обработку персональных данных Требования законодательства РФ в сфере персональных данных.
Информационная безопасность в защищенной корпоративной сети передачи данных (ЗКСПД) 2010 г. Начальник отдела по информационной безопасности ФГУ ФЦТ Начальник.
Обеспечение информационной безопасности при подготовке и проведении единого государственного экзамена в 2012 году Начальник отдела по информационной безопасности.
Обеспечение информационной безопасности при подготовке и проведении единого государственного экзамена Жолкевич Владимир Александрович Заместитель начальника.
Лавренко Михаил Иванович, главный специалист отдела информатизации и новых технологий министерства образования и науки Хабаровского края Об изменениях.
Этапы создания системы защиты персональных данных СПЕЦИАЛЬНЫЕ ВЫЧИСЛИТЕЛЬНЫЕ КОМПЛЕКСЫ Научно-производственное предприятие.
Обеспечение информационной безопасности при работе с ИС «ГИА(ЕГЭ)» Павлов А.В., заместитель директора по информационным технологиям и безопасности АУ УР.
Защита персональных данных работников. Положения о защите персональных данных работников регламентируют Конституция Российской Федерации Конституция Российской.
Заместитель директора ООО «ИТ Энигма» по информационной безопасности Метальников Александр ОСНОВНЫЕ ВОПРОСЫ РАБОТЫ ИТ- СПЕЦИАЛИСТА ЛПУ ПО ЗАЩИТЕ ПДН.
Информационное обеспечение проведения ЕГЭ Федеральный закон Российской Федерации от 2 февраля 2011 г. N 2-ФЗ Проект Постановления Правительства Российской.
ЕГЭ и ГИА учебный год. Собрание родителей и учащихся в 11 – ом и 9 - ом классе Тема собрания: ГИА, ЕГЭ, требования к ним. 31 января 2013 года.
Защита персональных данных 2008 г.. CNews Forum 2008 Информация о компании О компании ReignVox - российская компания, специализирующаяся на разработках.
Управление Роскомнадзора по Республике Крым и городу Севастополь Контактный телефон: ( ) Сайт Управления : 1 Тема:
Проведение мониторинга технического обеспечения и соблюдения норм информационной безопасности в региональных центрах обработки информации субъектов Российской.
Защита персональных данных Обязанности оператора автоматизированной информационной системы по защите персональных данных.
» ГБУ СО «СОЦИ» 1 31 января 2011 года Докладчик: Заместитель начальника отдела информационной безопасности ГБУ СО «СОЦИ» Колгин Антон Александрович 14.
2009 г. Об обеспечении безопасности персональных данных с использованием шифровальных (криптографических) средств.
Транксрипт:

Защита персональных данных Изменение законодательства и преемственность организационно-технических решений Сафонов Сергей Александрович заместитель начальника отдела по информационной безопасности ФГБУ «Федеральный центр тестирования» 2013 г.

Законодательные и нормативно – правовые документы, регламентирующие вопросы защиты персональных данных Проекты документов ФСТЭК России, регламентирующих требования о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах Содержание

Федеральный закон от 27 июля 2006 г. 149-ФЗ «Об информации, информационных технологиях и о защите информации» Федеральный закон от 27 июля 2006 г. 152-ФЗ «О персональных данных» Постановление Правительства РФ от 01 ноября 2012 г. 1119г. «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных» Проекты Приказов ФСТЭК России «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных» и «Об утверждении требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах» Нормативная база

В соответствии с Постановлением Правительства РФ от 01 ноября 2012 г. 1119г. признано утратившим силу постановление Правительства Российской Федерации от 17 ноября 2007 г. 781 «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных». Во исполнение Постановления Правительства РФ от 01 ноября 2012 г. 1119г. ФСТЭК России подготовлены и находятся на согласовании в Минюсте: - Приказ ФСТЭК России «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных» - Приказ ФСТЭК России «Об утверждении требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах» Нормативная база

Проведенный анализ проектов нормативных документов ФСТЭК России показывает, что в целом подход к защите ПДн остается прежним, за исключением того, что выбор мер и средств защиты ИСПДн осуществляется операторами исходя из актуальности угроз и необходимости обеспечения требуемого уровня защищенности. Для ПДн, обрабатываемых в государственных информационных системах выполнение требований о защите информации является обязательным. Меры по обеспечению безопасности персональных данных в государственных информационных системах принимаются в соответствии с требованиями о защите информации, не содержащей государственную тайну, содержащейся в государственных информационных системах, устанавливаемыми ФСТЭК России в пределах своих полномочий. Анализ изменений

Постановление 1119 устанавливает 4-е уровня защищенности ПДн в зависимости от типа угроз, актуальных для информационной системы Типы угрозХарактеристика Угрозы 1-го типа Актуальны для информационной системы, если для нее в том числе актуальны угрозы, связанные с наличием недокументированных (недекларированных) возможностей в системном программном обеспечении, используемом в информационной системе Угрозы 2-го типа Актуальны для информационной системы, если для нее в том числе актуальны угрозы, связанные с наличием недокументированных (недекларированных) возможностей в прикладном программном обеспечении, используемом в информационной системе Угрозы 3-го типа Актуальны для информационной системы, если для нее актуальны угрозы, не связанные с наличием недокументированных (недекларированных) возможностей в системном и прикладном программном обеспечении, используемом в информационной системе Типы угроз

Федеральная и региональные информационные системы являются государственными информационными системами. Обладателем информации, содержащейся в федеральной информационной системе, является Российская Федерация. От имени Российской Федерации правомочия обладателя информации, содержащейся в указанной системе, осуществляются Федеральной службой по надзору в сфере образования и науки Требования Постановления Правительства РФ от 27 января 2012 г. 36 «Об утверждении правил формирования и ведения федеральной информационной системы обеспечения проведения единого государственного экзамена и приема граждан в образовательные учреждения среднего профессионального образования и образовательные учреждения высшего профессионального образования и региональных информационных систем обеспечения проведения единого государственного экзамена»

В соответствии с проектом Приказа ФСТЭК России «Об утверждении требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах» При обработке в государственной информационной системе информации, содержащей персональные данные, для обеспечения первого уровня защищенности персональных данных, установленного в соответствии с Требованиями к защите персональных при их обработке в информационных системах персональных данных, утвержденными постановлением Правительства Российской Федерации от 1 ноября 2012 г. 1119, государственной информационной системе не может быть присвоен класс защищенности ниже чем К1. Для второго уровня - ниже чем К2. Для третьего уровня - ниже чем К3. Для четвертого уровня - К4 или боле высокий. Критерии классификации государственных информационных систем

Система защиты включает следующие меры защиты информации: - обеспечение доверенной загрузки; - идентификацию и аутентификацию субъектов доступа и объектов доступа; - управление доступом субъектов доступа к объектам доступа; - ограничение программной среды; - защиту машинных носителей информации; - регистрацию событий безопасности; - обеспечение целостности информационной системы и информации; - защиту среды виртуализации; - защиту технических средств; - защиту информационной системы, ее средств и систем связи и передачи данных. Требования к системе защиты ПДн в государственных информационных системах

Концепция защиты информации (ПДн) ФИС ЕГЭ и приема не изменилась Региональные информационные системы взаимодействуют с ФИС по прежней схеме с обеспечением выполнения требований по информационной безопасности Выводы

Федеральное государственное бюджетное учреждение «Федеральный центр тестирования» Юридический и почтовый адрес: , Москва, Ленинский проспект, д. 2а Спасибо за внимание ! +7 (495) секретариат