Защита персональных данных от несанкционированного доступа.

Презентация:



Advertisements
Похожие презентации
Законодательная и нормативная база правового регулирования вопросов защиты персональных данных. Руководящие документы по защите персональных данных Законодательная.
Advertisements

Персональные данные - любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу ( субъекту персональных.
Защита персональных данных: основные аспекты. Федеральный закон от 27 июля 2006 г. 152-ФЗ «О персональных данных» Персональные данные (ПДн) Кто? От кого?
Обеспечение безопасности персональных данных. Проблемы и решения 9 марта 2011 года.
Федеральный закон о персональных данных. Необходимо: 1.Получать разрешение на обработку и передачу персональных данных. 2.Уведомлять РОСКОМНАДЗОР о том,
Текущая ситуация Законодательство, нормативы ФЕДЕРАЛЬНЫЙ ЗАКОН РОССИЙСКОЙ ФЕДЕРАЦИИ ОТ 27 ИЮЛЯ 2006 Г. 152-ФЗ «О ПЕРСОНАЛЬНЫХ ДАННЫХ» ПОСТАНОВЛЕНИЕ ПРАВИТЕЛЬСТВА.
Федеральный закон 152-ФЗ «О персональных данных» от 27 июля 2006 года ( с последними изменениями от 25 июля 2011 года) Требования к юридическим лицам.
НАЧАЛЬНИК ОТДЕЛА ЗАЩИТЫ ИНФОРМАЦИИ ОТ ЕЁ УТЕЧКИ ПО ТЕХНИЧЕСКИМ КАНАЛАМ ТТИ ЮФУ Коробилов Юрий Борисович.
Управление Роскомнадзора по Республике Крым и городу Севастополь Контактный телефон: ( ) Сайт Управления : 1 Тема:
ЗАЩИТА ПЕРСОНАЛЬНЫХ ДАННЫХ Требования законодательства РФ в области обработки и защиты ПДн. © 2010, ООО «НПО «ОнЛайн Защита». Все права защищены ,
1 Об Уполномоченном органе по защите прав субъектов персональных данных Заместитель руководителя Управления Роскомнадзора по Ивановской области Семененко.
2009 г. Об обеспечении безопасности персональных данных с использованием шифровальных (криптографических) средств.
Этапы создания системы защиты персональных данных СПЕЦИАЛЬНЫЕ ВЫЧИСЛИТЕЛЬНЫЕ КОМПЛЕКСЫ Научно-производственное предприятие.
Защита персональных данных в информационных системах 24 ноября 2010 года.
Защита персональных данных работников. Положения о защите персональных данных работников регламентируют Конституция Российской Федерации Конституция Российской.
2-3 февраля 2010 г. Обеспечение безопасности персональных данных в информационных системах образовательных учреждений Хорев П.Б., РГСУ.
В соответствии со статьей 19 Федерального закона «О персональных данных» Правительство Российской Федерации постановляет: Положение об обеспечении 1.
ЗАЩИТА ПЕРСОНАЛЬНЫХ ДАННЫХ в информационных системах операторов связи.
Методология определения класса ИСПДн. КАТЕГОРИЯ ОБРАБАТЫВАЕМЫХ В ИНФОРМАЦИОННОЙ СИСТЕМЕ ДАННЫХ - Х ПД; ОБЪЁМ ОБРАБАТЫВАЕМЫХ ПЕРСОНАЛЬНЫХ ДАННЫХ (КОЛИЧЕСТВО.
Выполнение требований федерального законодательства в области защиты информации. Практические аспекты Новиков Дмитрий Владимирович Тел. +7 /495/
Транксрипт:

Защита персональных данных от несанкционированного доступа

Федеральный закон от ФЗ «О персональных данных»; Постановление Правительства Российской Федерации от «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных»; Постановление Правительства Российской Федерации от «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»; Руководящие и методические документы ФСТЭК России и ФСБ России. 2 / 12 Нормативные правовые акты

Персональные данные - это любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация. Специальные категории персональных данных - это данные о расовой, национальной принадлежности, политических взглядах, религиозных или философских убеждениях, состоянии здоровья, интимной жизни. Биометрические персональные данные - это сведения, которые характеризуют физиологические особенности человека, на основе которых можно установить его личность. 3 / 12 Основные понятия, термины и определения

Субъект персональных данных - это физическое лицо. Оператор персональных данных - это государственный орган, муниципальный орган, юридическое или физическое лицо, организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели и содержание обработки персональных данных. Реестр операторов - перечень, список операторов, осуществляющих обработку персональных данных. Уполномоченный орган по защите прав субъектов персональных данных - Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор). 4 / 12 Основные понятия, термины и определения

Ведение реестра операторов персональных данных; Проверка сведений, содержащихся в уведомлении об обработке персональных данных операторов; Проверка деятельности операторов по обработке персональных данных; Проверка обеспечения операторами безопасности персональных данных при их обработке в информационных системах персональных данных, а также требований к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных; Проверка выполнения операторами предписаний по устранению ранее выявленных нарушений требований законодательства области персональных данных. 5 / 12 Основные функции Роскомнадзора

Неправомерный доступ к компьютерной информации - несанкционированное собственником информации ознакомление лица с данными, содержащимися на машинных носителях или в ЭВМ; Уничтожение компьютерной информации - полная физическая ликвидация информации или ее элементов, влияющих на изменение существенных, идентифицирующих информацию, признаков; Модификация информации - внесение в нее любых изменений, обуславливающих ее отличие от той, которую включил в систему и которой владеет собственник информационного ресурса; Блокирование - результат воздействия на ЭВМ и ее элементы, повлекший временную или постоянную невозможность осуществлять какие-либо операции над компьютерной информацией. 6 / 12 Преступления в сфере компьютерной информации

Уведомление уполномоченного органа по защите прав субъектов персональных данных о своем намерении осуществлять обработку персональных данных; Предоставление субъекту персональных данных по его просьбе информации о целях и способах обработки его персональных данных; Защита персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных, а также от иных неправомерных действий. 7 / 12 Основные обязанности оператора ПДн

Назначение должностных лиц, ответственных за обеспечение безопасности персональных данных; Определение перечня персональных данных подлежащих защите; Определение круга лиц, доступ которых к персональным данным необходим для исполнения служебных обязанностей; Разработка частной модели угроз; Классификация информационных систем персональных данных; Разработка документов, определяющих правила парольной и антивирусной защиты, резервного копирования, ремонта вычислительной техники и обновления программного обеспечения. 8 / 12 Организационные меры защиты ПДн

Бумажные и электронные носители персональных данных должны храниться в надежном хранилище (сейф или металлический шкаф); Вход в компьютер должен осуществляться только после ввода пароля, длиной не менее 8 символов; Экраны мониторов должны быть расположены таким образом, чтобы исключить случайное или преднамеренное считывание информации посторонними лицами; Передача персональных данных сторонним лицам и организациям возможна только по их письменному запросу, в котором указано законное основание для получения таких данных и цель их обработки. 9 / 12 Организационные меры защиты ПДн

На основании утвержденных документов, а также с учетом имеющихся данных о классе ИСПДн и перечня актуальных угроз формулируются конкретные технические требования по защите ИСПДн и осуществляется конкретный выбор программных и технических средств защиты информации. Направления технической защиты: Управление доступом, регистрация и учет; Обеспечение целостности и контроль отсутствия недекларированных возможностей; Обеспечение безопасного межсетевого взаимодействия и антивирусная защита; Криптографическая защита, защита от утечек по техническим каналам и обнаружение вторжений; Мероприятия по размещению, специальному оборудованию, охране и организации режима допуска в помещения, где ведется работа с ПДн. 10 / 12 Технические меры защиты ПДн

Для проверки достигнутого уровня защищенности объектов информатизации проводится процедура аттестации. Для проведения аттестации привлекаются специализированные организации, имеющие лицензию ФСТЭК на деятельность по технической защите конфиденциальной информации. Аттестация объектов информатизации состоит из комплекса организационно-технических мероприятий, в результате которых посредством специального документа - «Аттестата соответствия» - подтверждается, что объект соответствует требованиям стандартов или иных нормативно-технических документов по безопасности информации, утвержденных государственными органами по сертификации и аттестации в пределах своей компетенции. 11 / 12 Технические меры защиты ПДн

Спасибо за внимание! 12 / 12