Структура нормативных документов ФЗ-152 «О персональных данных» ФСТЭК Приказ 58 Порядок проведения классификации Базовая модель Методика определения угроз ФСБ Порядок проведения классификации Методические рекомендации по криптозащите Типовые требования по криптозащите
Cтатья 1. Сфера действия настоящего Федерального закона 1. Настоящим Федеральным законом регулируются отношения, связанные с обработкой персональных данных, осуществляемой федеральными органами государственной власти, органами государственной власти субъектов Российской Федерации, иными государственными органами (далее - государственные органы), органами местного самоуправления, иными муниципальными органами (далее - муниципальные органы), юридическими лицами и физическими лицами с использованием средств автоматизации, в том числе в информационно-телекоммуникационных сетях, или без использования таких средств, если обработка персональных данных без использования таких средств соответствует характеру действий (операций), совершаемых с персональными данными с использованием средств автоматизации, то есть позволяет осуществлять в соответствии с заданным алгоритмом поиск персональных данных, зафиксированных на материальном носителе и содержащихся в картотеках или иных систематизированных собраниях персональных данных, и (или) доступ к таким персональным данным.
Cтатья 1. Сфера действия настоящего Федерального закона 2. Действие настоящего Федерального закона не распространяется на отношения, возникающие при: 1) обработке персональных данных физическими лицами исключительно для личных и семейных нужд, если при этом не нарушаются права субъектов персональных данных; 2) организации хранения, комплектования, учета и использования содержащих персональные данные документов Архивного фонда Российской Федерации и других архивных документов в соответствии с законодательством об архивном деле в Российской Федерации; 3) утратил силу 4) обработке персональных данных, отнесенных в установленном порядке к сведениям, составляющим государственную тайну; 5) предоставлении уполномоченными органами информации о деятельности судов в Российской Федерации в соответствии с Федеральным законом от 22 декабря 2008 года N 262-ФЗ "Об обеспечении доступа к информации о деятельности судов в Российской Федерации".
Принципы обработки ПД соблюдение законности целей и способов обработки персональных данных и добросовестности; соответствия целей обработки персональных данных целям, заранее определенным и заявленным при сборе персональных данных, а также полномочиям оператора; соответствия объема и характера обрабатываемых персональных данных, способов обработки персональных данных целям обработки персональных данных;
Персональные данные любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация
Классы типовой ИСПДН 321 Категория 4К4 Категория 3К3 К2 Категория 2К3К2К1 Категория 1К1
Категории ПД категория 1 - персональные данные, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных и философских убеждений, состояния здоровья, интимной жизни; категория 2 - персональные данные, позволяющие идентифицировать субъекта персональных данных и получить о нем дополнительную информацию, за исключением персональных данных, относящихся к категории 1; категория 3 - персональные данные, позволяющие идентифицировать субъекта персональных данных; категория 4 - обезличенные и (или) общедоступные персональные данные. 12
Значения 1 - в информационной системе одновременно обрабатываются персональные данные более чем субъектов персональных данных или персональные данные субъектов персональных данных в пределах субъекта Российской Федерации или Российской Федерации в целом; 2 - в информационной системе одновременно обрабатываются персональные данные от 1000 до субъектов персональных.данных или персональные данные субъектов персональных данных, работающих в отрасли экономики Российской Федерации, в органе государственной власти, проживающих в пределах муниципального образования; 3 - в информационной системе одновременно обрабатываются данные менее чем 1000 субъектов персональных данных или персональные данные субъектов персональных данных в пределах конкретной организации.
Специальные системы Типовые информационные системы - информационные системы, в которых требуется обеспечение только конфиденциальности персональных данных. Специальные информационные системы - информационные системы, в которых вне зависимости от необходимости обеспечения конфиденциальности персональных данных требуется обеспечить хотя бы одну из характеристик безопасности персональных данных, отличную от конфиденциальности (защищенность от уничтожения, изменения, блокирования, а также иных несанкционированных действий). К специальным информационным системам должны быть отнесены: информационные системы, в которых обрабатываются персональные данные, касающиеся состояния здоровья субъектов персональных данных; информационные системы, в которых предусмотрено принятие на основании исключительно автоматизированной обработки персональных данных решений, порождающих юридические последствия в отношении субъекта персональных данных или иным образом затрагивающих его права и законные интересы. «Приказ трех» Пункт 8
ЭСКИЗ СИСТЕМЫ Состав СЗИ ИСПДН 10
Структура СЗИ (функциональный состав) Идентификация и аутоидентификация Анализ и управление ПО Анализ и управление трафиком Анализ и управление аппаратным обеспечением 11
Структура СЗИ (топологический анализ) Разделение потоков информации различных классов Выявление зон свободного доступа людей к активному сетевому оборудованию Выявление зон свободного доступа к линиям связи Выявление участков сети с радиоканалом 12
Элементы системы защиты информации Защита от НСД: Авторизация; Разграничение доступа. Антивирусная защита. Надежное хранилище Контроль целостности обеспечение конфиденциальности Подсистема управление траффиком. Подсистема резервного копирования Системы обнаружения (предотвращения) вторжений. Система анализа защищенности. Криптографическая подсистема. Подсистема регистрации событий. 13
Цена вопроса Стоимость Физическая защита Речевая информация Тех. каналы НСД Общесистемная защита Сканер безопасности Централизованное управление СЗИ Защита периметра МЭ VPN IDS/DLP Защита АРМ НСД антивирус 14
Сертификация Windows Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации по 5 классу защищенности, могут использоваться при создании автоматизированных систем до класса защищенности 1Г включительно при создании информационных систем персональных данных до 2 класса включительно. 15
Принципы классификации Составляется перечень типов ресурсов типы по тематике, функциональному назначению, сходности технологии обработки и т.п. признакам Для каждого типа ресурсов определяется степень важности по основным задачам СЗИ. Для каждого типа ресурсов с учетом значимости субъектов и уровней наносимого им ущерба устанавливается степень необходимой защищенности. 16
Типовая структура Активное сетевое оборудование на границе зон может реализовывать: –Трансляцию адресов; –Фильтрацию трафика; –IDS; 17
ОРГАНИЗАЦИОННЫЕ МЕРОПРИЯТИЯ 18
Организационные меры. Организационные мероприятия Обучение сотрудников Организация рабочих мест в составе ИСПДн и мест хранения документов, отчуждаемых носителей информации Организация работы с обращениями граждан 19
Обучение сотрудников Цель: ознакомление с фактом и принципами работы с персональными данными, ответственность персонала Реализуется путем проведение общих инструктажей, разработки и ознакомления с инструкциями, проведением контроля в форме зачета или экзамена. Результат оформляется в виде подписанных листов ознакомления 20