Критерии использования криптографических средств при защите персональных данных Беззубцев Олег Андреевич, советник генерального директора ОАО «ЭЛВИС-ПЛЮС»

Презентация:



Advertisements
Похожие презентации
Защита персональных данных на базе типовых решений ЭЛВИС-ПЛЮС © ОАО «ЭЛВИС-ПЛЮС», 2008 г.
Advertisements

2009 г. Об обеспечении безопасности персональных данных с использованием шифровальных (криптографических) средств.
Текущая ситуация Законодательство, нормативы ФЕДЕРАЛЬНЫЙ ЗАКОН РОССИЙСКОЙ ФЕДЕРАЦИИ ОТ 27 ИЮЛЯ 2006 Г. 152-ФЗ «О ПЕРСОНАЛЬНЫХ ДАННЫХ» ПОСТАНОВЛЕНИЕ ПРАВИТЕЛЬСТВА.
Проведение ведомственных выездных проверок организации защиты персональных данных при их обработке в учреждениях здравоохранения Челябинской области в.
Информационная безопасность вуза. Организация работ по защите информации при построении единого информационного пространства кандидат технических наук,
Приведение информационных систем персональных данных в соответствие требованиям законодательства Российской Федерации Начальник аналитического отдела ООО.
УПРАВЛЕНИЕ ИНФОРМАТИЗАЦИИ ГОРОДА МОСКВЫ Организация работы в органах исполнительной власти города Москвы по защите информационных систем, обрабатывающих.
Рачков Михаил группа компаний Стандарт безопасности г. Ярославль Безопасная обработка данных в государственных и муниципальных автоматизированных системах.
ПРОБЛЕМЫ ОПЕРАТОРОВ ПЕРСОНАЛЬНЫХ ДАННЫХ. НОРМАТИВЫ ПРИНЯТЫ, ЧТО ДАЛЬШЕ? ПРОБЛЕМЫ ОПЕРАТОРОВ ПЕРСОНАЛЬНЫХ ДАННЫХ. НОРМАТИВЫ ПРИНЯТЫ, ЧТО ДАЛЬШЕ? (требования.
М.Ю.Емельянников Заместитель коммерческого директора НИП «ИНФОРМЗАЩИТА» Защита персональных данных: алгоритм для законопослушных банков ИНФОРМАЦИОННАЯ.
Некоторые вопросы обеспечения информационной безопасности в учреждениях здравоохранения Начальник аналитического отдела ООО «Стандарт безопасности» Дмитрий.
Нормативно-методические документы Политики информационной безопасности города Москвы – практическая реализация требований Федерального и регионального.
Защита персональных данных 2008 г.. CNews Forum 2008 Информация о компании О компании ReignVox - российская компания, специализирующаяся на разработках.
Информационная безопасность в защищенной корпоративной сети передачи данных (ЗКСПД) 2010 г. Начальник отдела по информационной безопасности ФГУ ФЦТ Начальник.
ОБЛАСТИ И ОБЪЕКТЫ ПО ОБЕСПЕЧЕНИЮ ИБ И ЗАЩИТЕ ИНФОРМАЦИОННОЙ ДЕЯТЕЛЬНОСТИ Борисов В.А. КАСК – филиал ФГБОУ ВПО РАНХ и ГС Красноармейск 2011 г.
Обезличивание персональных данных на основе функций хеширования Советник генерального директора ОАО «ЭЛВИС-ПЛЮС» О.А. Беззубцев © ОАО «ЭЛВИС-ПЛЮС», 2012.
Практический опыт реализации требований по защите персональных данных МУ Информационно-методический центр Ходячих Андрей Викторович.
НОВОЕ В НОРМАТИВНОЙ БАЗЕ В ОБЛАСТИ ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ НОВОЕ В НОРМАТИВНОЙ БАЗЕ В ОБЛАСТИ ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ (требования и комментарии)
Защита персональных данных в АИБС МАРК. Нормативные требования Закон 152-ФЗ «О персональных данных» Постановление Правительства 781 «положение об обеспечении.
ПРОБЛЕМЫ ОПЕРАТОРОВ ПЕРСОНАЛЬНЫХ ДАННЫХ. НОМАТИВЫ ПРИНЯТЫ, ЧТО ДАЛЬШЕ? ПРОБЛЕМЫ ОПЕРАТОРОВ ПЕРСОНАЛЬНЫХ ДАННЫХ. НОМАТИВЫ ПРИНЯТЫ, ЧТО ДАЛЬШЕ? (требования.
Транксрипт:

Критерии использования криптографических средств при защите персональных данных Беззубцев Олег Андреевич, советник генерального директора ОАО «ЭЛВИС-ПЛЮС» Москва, 2008 г.

п. 1 статьи 19 Федерального закона «О персональных данных» специально указал, что «…оператор при обработке персональных данных обязан принимать необходимые организационные и технические меры, в том числе использовать шифровальные (криптографические) средства, для защиты персональных данных …»

Когда (в каких условиях) оператор обработки персональных данных должен применять средства шифрования и Электронно-цифровую подпись в своих автоматизированных информационных системах? Криптографические средства, какого конкретно уровня защиты он должен при этом использовать?

Согласно п. 12 Положения, необходимым условием разработки системы защиты персональных данных в АИС оператора является модель угроз безопасности персональных данных Согласно п. 16 Положения модель угроз является необходимой для определения класса информационной системы

1) Персональные данные обрабатываются и хранятся в информационной системе с использованием определенных информационных технологий и технических средств, отвечающих, в первую очередь, целям и задачам обработки этих персональных данных. Именно данные технологии м средства порождающих объекты защиты различного уровня, атаки на которые создают прямые или косвенные угрозы защищаемой информации

2) Для обеспечения безопасности персональных данных при их обработке в информационных системах должна быть создана подсистема защиты персональных данных. При этом подсистема защиты не может обеспечить защиту обрабатываемой информации от действий, выполняемых в рамках предоставленных субъекту действий полномочий

3) Нарушитель информационной безопасности может действовать на различных этапах жизненного цикла АИС, подсистемы защиты персональных данных и конкретных, в том числе и криптографических, средств защиты информации. Поэтому при формировании модели угроз необходимо учитывать все возможные возникающие на указанных этапах жизненного цикла АИС и ее компонентов прямые и косвенные угрозы.

4) Для обеспечения безопасности персональных данных должны использоваться СЗИ, в том числе и криптографические, соответствующие требованиям российского законодательства. Средства штатно функционируют совместно с техническими и программными средствами АИС, которые способны повлиять на выполнение предъявляемых к СЗИ требований по безопасности

Формирование модели угроз информационным ресурсам АИС персональных данных I этап. Анализ АИС: субъекты, создающие ПД; субъекты, которым ПД предназначены; информационные технологии и технические средства используемые в АИС; установленные или требуемые правила доступа к ПД; характеристики безопасности ПД, которые должны быть обеспечены в процессе обработки этих данных в АИС используемые в процессе создания и использования персональных данных объекты АИС дополнительная техническая информация, сопутствующая созданию и использованию ПД, которая может служить объектом угроз

Формирование модели угроз информационным ресурсам АИС персональных данных IIэтап. Модель нарушителя ИБ АИС ПД определение типа нарушителя, целей его атаки, имеющихся у него средствах проведения атаки и используемых им для этого возможных каналов доступа к информационным ресурсам АИС; определение объекта атаки, а также имеющихся у нарушителя (нарушителей выявленного типа) сведений об объекте атаки – технических и программных средствах АИС

IIэтап. Модель нарушителя ИБ АИС ПД 1. Определение каналов воздействия нарушителя на АИС и подсистему защиты 2. Выделение типа нарушителя из множества Н1, Н2,.. Н6 хакер Корпоративный нарушитель Спецслужба зарубежного государства 3. Определение уровня криптографической защиты КС1, КС2, КС3, КВ1, КВ2, КА1

Методические рекомендации по обеспечению с помощью криптосредств безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств автоматизации Типовые требования по организации и обеспечению функционирования шифровальных (криптографических) средств, предназначенных для защиты информации, не содержащих сведений, государственную тайну в случае использования для обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных

Спасибо за внимание! _______________________ , МОСКВА, Зеленоград, Центральный проспект, 11 тел , факс Олег Беззубцев