Текущая ситуация Законодательство, нормативы ФЕДЕРАЛЬНЫЙ ЗАКОН РОССИЙСКОЙ ФЕДЕРАЦИИ ОТ 27 ИЮЛЯ 2006 Г. 152-ФЗ «О ПЕРСОНАЛЬНЫХ ДАННЫХ» ПОСТАНОВЛЕНИЕ ПРАВИТЕЛЬСТВА.

Презентация:



Advertisements
Похожие презентации
» ГБУ СО «СОЦИ» 1 31 января 2011 года Докладчик: Заместитель начальника отдела информационной безопасности ГБУ СО «СОЦИ» Колгин Антон Александрович 14.
Advertisements

Защита персональных данных: основные аспекты. Федеральный закон от 27 июля 2006 г. 152-ФЗ «О персональных данных» Персональные данные (ПДн) Кто? От кого?
Обеспечение информационной безопасности при подготовке и проведении единого государственного экзамена в 2012 году Начальник отдела по информационной безопасности.
Марийский региональный центр повышения квалификации и переподготовки кадров Мероприятия по определению персональных данных и подготовке нормативных документов.
ЗАЩИТА ПЕРСОНАЛЬНЫХ ДАННЫХ Требования законодательства РФ в области обработки и защиты ПДн. © 2010, ООО «НПО «ОнЛайн Защита». Все права защищены ,
Компания «Инфо-Оберег» Дорофеев Владимир Игоревич.
Практический опыт оценки соответствия стандарту БАНКА РОССИИ СТО БР ИББС–1.0–2010 ( CNews FORUM 2010, 10 ноября) Лысенко Юрий Начальник Управления информационной.
2009 г. Об обеспечении безопасности персональных данных с использованием шифровальных (криптографических) средств.
Санкт-Петербург 2013год «Классификация информационных систем персональных данных»
ЗАЩИТА ПЕРСОНАЛЬНЫХ ДАННЫХ в информационных системах операторов связи.
Обеспечение безопасности персональных данных. Проблемы и решения 9 марта 2011 года.
НОВОЕ В НОРМАТИВНОЙ БАЗЕ В ОБЛАСТИ ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ НОВОЕ В НОРМАТИВНОЙ БАЗЕ В ОБЛАСТИ ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ (требования и комментарии)
Структура нормативных документов ФЗ-152 «О персональных данных» ФСТЭК Приказ 58 Порядок проведения классификации Базовая модель Методика определения угроз.
Методология определения класса ИСПДн. КАТЕГОРИЯ ОБРАБАТЫВАЕМЫХ В ИНФОРМАЦИОННОЙ СИСТЕМЕ ДАННЫХ - Х ПД; ОБЪЁМ ОБРАБАТЫВАЕМЫХ ПЕРСОНАЛЬНЫХ ДАННЫХ (КОЛИЧЕСТВО.
ФЕДЕРАЛЬНОЕ ГОСУДАРСТВЕННОЕ БЮДЖЕТНОЕ ОБРАЗОВАТЕЛЬНОЕ УЧРЕЖДЕНИЕ ВЫСШЕГО ПРОФЕССИОНАЛЬНОГО ОБРАЗОВАНИЯ СТАВРОПОЛЬСКИЙ ГОСУДАРСТВЕННЫЙ АГРАРНЫЙ УНИВЕРСИТЕТ.
М.Ю.Емельянников Заместитель коммерческого директора НИП «ИНФОРМЗАЩИТА» Защита персональных данных: алгоритм для законопослушных банков ИНФОРМАЦИОННАЯ.
Защита персональных данных 2008 г.. CNews Forum 2008 Информация о компании О компании ReignVox - российская компания, специализирующаяся на разработках.
В соответствии со статьей 19 Федерального закона «О персональных данных» Правительство Российской Федерации постановляет: Положение об обеспечении 1.
КОМПАНИЯ СТЭК « Применение законодательства по защите прав субъектов при обработке персональных данных »
Персональные данные - любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу ( субъекту персональных.
Транксрипт:

Текущая ситуация Законодательство, нормативы ФЕДЕРАЛЬНЫЙ ЗАКОН РОССИЙСКОЙ ФЕДЕРАЦИИ ОТ 27 ИЮЛЯ 2006 Г. 152-ФЗ «О ПЕРСОНАЛЬНЫХ ДАННЫХ» ПОСТАНОВЛЕНИЕ ПРАВИТЕЛЬСТВА РОССИЙСКОЙ ФЕДЕРАЦИИ ОТ 17 НОЯБРЯ 2007 Г. 781 «ОБ УТВЕРЖДЕНИИ ПОЛОЖЕНИЯ ОБ ОБЕСПЕЧЕНИИ БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ ПРИ ИХ ОБРАБОТКЕ В ИНФОРМАЦИОННЫХ СИСТЕМАХ ПЕРСОНАЛЬНЫХ ДАННЫХ» ПРИКАЗ ФСТЭК РОССИИ, ФСБ РОССИИ, МИНИНФОРМСВЯЗИ РОССИИ ОТ 13 ФЕВРАЛЯ 2008 Г. N 55/86/20 «ОБ УТВЕРЖДЕНИИ ПОРЯДКА ПРОВЕДЕНИЯ КЛАССИФИКАЦИИ ИНФОРМАЦИОННЫХ СИСТЕМ ПЕРСОНАЛЬНЫХ ДАННЫХ» ПОСТАНОВЛЕНИЕ ПРАВИТЕЛЬСТВА РОССИЙСКОЙ ФЕДЕРАЦИИ ОТ 15 СЕНТЯБРЯ 2008 Г. 687 «ОБ УТВЕРЖДЕНИИ ПОЛОЖЕНИЯ ОБ ОСОБЕННОСТЯХ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ, ОСУЩЕСТВЛЯЕМОЙ БЕЗ ИСПОЛЬЗОВАНИЯ СРЕДСТВ АВТОМАТИЗАЦИИ»

Определяются следующие категории обрабатываемых в информационной системе персональных данных (Х пд ): категория 1 - персональные данные, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных и философских убеждений, состояния здоровья, интимной жизни; категория 2 - персональные данные, позволяющие идентифицировать субъекта персональных данных и получить о нем дополнительную информацию, за исключением персональных данных, относящихся к категории 1; категория 3 - персональные данные, позволяющие идентифицировать субъекта персональных данных; категория 4 - обезличенные и (или) общедоступные персональные данные. В зависимости от объема обрабатываемых а ИСПДн персональных данных Х нпд может принимать следующие значения: 1 - в информационной системе одновременно обрабатываются персональные данные более чем субъектов персональных данных или персональные" данные субъектов персональных данных в пределах субъекта Российской Федерации или Российской Федерации в целом; 2 - в информационной системе одновременно обрабатываются персональные данные от 1000 до субъектов персональных данных или персональные данные субъектов персональных данных, работающих в отрасли экономики Российской Федерации, в органе государственной власти, проживающих в пределах муниципального образования; 3 - в информационной системе одновременно обрабатываются данные менее чем 1000 субъектов персональных данных или персональные данные субъектов персональных данных в пределах конкретной организации. Х нпд Х пд 321 категория 4К4 категория 3КЗ К2 категория 2КЗК2К1 категория 1К1

Безопасность персональных данных при их обработке в информационных системах должна обеспечиваться с помощью системы защиты персональных данных, включающей организационные меры и средства защиты информации в том числе: шифровальные (криптографические) средства, средства предотвращения несанкционированного доступа, средства предотвращения утечки информации по техническим каналам, средства предотвращения программно-технических воздействий на технические средства обработки персональных данных. Технические и программные средства должны удовлетворять устанавливаемым в соответствии с законодательством Российской Федерации требованиям, обеспечивающим защиту информации. К1 и К2 = ПЭМИН, Аттестация

Защищенные по ведомственным и государственным требованиям ИС, обрабатывающие открытую и конфиденциальную информацию, а также ПД, и имеющие: Модели нарушителя и угроз Аналитические обоснования СЗИ Акты классификации Проектные решения Созданные системы защиты информации Аттестаты соответствия, заключения, пр. В большинстве случаев несоответствие для К1 и К2

Требованиям к ИС ПД, в частности, не соответствуют: ERP HR Высокозащищенные системы, не во всех случаях использующие сертифицированные СЗИ Аттестованные системы Существенные затраты на переоснащение без значимого повышения уровня защищенности Что делать?

Специальные информационные системы - информационные системы, в которых вне зависимости от необходимости обеспечения конфиденциальности персональных данных требуется обеспечить хотя бы одну из характеристик безопасности персональных данных, отличную от конфиденциальности (защищенность от уничтожения, изменения, блокирования, а также иных несанкционированных действий). К специальным информационным системам должны быть отнесены: информационные системы, в которых обрабатываются персональные данные, касающиеся состояния здоровья субъектов персональных данных; информационные системы, в которых предусмотрено принятие на основании исключительно автоматизированной обработки персональных данных решений, порождающих юридические последствия в отношении субъекта персональных данных или иным образом затрагивающих его права и законные интересы.

Используя понятие «специальной системы», обеспечить осознанный выбор владельца ИСПД между: Таблицей классов Обоснованием требуемого уровня защищенности по РД ФСТЭК, ведомственным документам, ISO/МЭК – возможно, без точного соответствия классам Приказа. В последнем случае предусмотреть согласование обоснования (ТЗ, Аналитического обоснования, задания по безопасности, пр.) с уполномоченными организациями