Защита персональных данных Обязанности оператора автоматизированной информационной системы по защите персональных данных
Федеральный закон от 27 июля 2006 г. 152-ФЗ «О персональных данных» Ст. 3. Оператор – государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными. Ст. 19. Оператор при обработке персональных данных обязан принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты персональных данных от неправомерного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий.
АУ УР «РЦИиОКО» является оператором ИСПДн Государственные ИС: Федеральная ИС «ЕГЭ и ГИА» Региональная ИС «ЕГЭ» Региональная ИС «ГИА-9» Региональных нет ИС с персональными данными: Ведомственные ИС АИС «Электронная школа» АИС «Электронный колледж» Внутренние ИС
Требования к защите «Требования к защите персональных данных при их обработке в информационных системах персональных данных», утверждены постановлением Правительства Российской Федерации от 1 ноября 2012 г. 1119
Состав мер по защите «Состав и содержание организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных», утверждены приказом ФСТЭК России от 18 февраля 2013 г. 21, зарегистрированы в Министерстве юстиции Российской Федерации, регистрационный от 14 мая 2013
Необходимые меры Организационное меры - это мероприятия, проведение которых не требует применения специально разработанных технических средств Технические меры предусматривают применение специальных технических средств и реализацию технических решений
Мероприятия по обеспечению защиты информации, содержащейся в информационной системе: формирование требований к защите информации, содержащейся в информационной системе разработка системы защиты информации информационной системы внедрение системы защиты информации информационной системы обеспечение защиты информации в ходе эксплуатации информационной системы
Ответственный за обеспечение безопасности персональных данных В соответствии с «Требованиями к защите персональных данных…», утвержденными постановлением Правительства Российской Федерации 1119: для обеспечения 3-го и 2-го уровней защищенности персональных данных назначается должностное лицо, ответственное за обеспечение безопасности персональных данных в информационной системе
Формирование требований к системе защиты информации принятие решения о необходимости защиты информации, содержащейся в информационной системе определение уровней защищенности персональных данных в информационной системе, при обработке персональных данных в государственной информационной системе - определяется класс защищенности информационной системы определение актуальных угроз безопасности информации и разработку на их основе модели угроз безопасности информации определение требований к системе защиты информации информационной системы
Определение защищаемой информации В целях определения защищаемой информации, то есть – персональных данных, подвергающихся автоматизированной обработке, технических средств, в которых она циркулирует, программных продуктов, с использованием которых осуществляется обработка, а также объектов и субъектов доступа и собственно технологии обработки персональных данных, рекомендуется провести обследование эксплуатируемых информационных систем или другими словами инвентаризацию
Объекты защиты в информационной системе информация – персональные данные технические средства программное обеспечение: общесистемное, прикладное, специальное средства защиты информации
Состав технического паспорта В техническом паспорте рекомендуется отразить: состав технических средств расположение технических средств установленные программные средства установленные средства защиты
Состав описания технологического процесса обработки информации описание объектов доступа - к каким защищаемым техническим средствам и информационным ресурсам будет осуществляться доступ описание субъектов доступа - какие лица и (или) технические средства будут осуществлять доступ к объектам доступа особенности технологического процесса обработки информации, а именно, каким образом и с каких носителей информация вводится в ИСПДн, каким образом и на какие носители информация выводится, осуществляется ли обмен информацией со сторонними организациями, если да, то каким образом, с использованием каких носителей, по каким каналам связи
Определение уровня защищенности Уровни защищенности персональных данных устанавливается в соответствии с «Требованиями к защите персональных данных при их обработке в информационных системах персональных данных», утвержденных постановлением Правительства Российской Федерации от 1 ноября 2012 г Устанавливаются 4 уровня защищенности. самый низкий класс – четвертый, самый высокий - первый
Требования для 4 уровня защищенности организация режима обеспечения безопасности помещений, в которых размещена информационная система, препятствующего возможности неконтролируемого проникновения или пребывания в этих помещениях лиц, не имеющих права доступа в эти помещения; обеспечение сохранности носителей персональных данных; утверждение руководителем оператора документа, определяющего перечень лиц, доступ которых к персональным данным, обрабатываемым в информационной системе, необходим для выполнения ими служебных (трудовых) обязанностей; использование средств защиты информации, прошедших процедуру оценки соответствия требованиям законодательства Российской Федерации в области обеспечения безопасности информации, в случае, когда применение таких средств необходимо для нейтрализации актуальных угроз.
Требования для 3 уровня защищенности Для обеспечения 3 уровня защищенности персональных данных необходимо выполнение требований для 4 уровня и, кроме того: необходимо, чтобы было назначено должностное лицо (работник), ответственный за обеспечение безопасности персональных данных в информационной системе.
Состав мер по обеспечению безопасности персональных данных: идентификация и аутентификация субъектов доступа и объектов доступа управление доступом субъектов доступа к объектам доступа ограничение программной среды регистрация событий безопасности антивирусная защита обнаружение вторжений контроль (анализ) защищенности персональных данных обеспечение целостности информационной системы и персональных данных обеспечение доступности персональных данных защита среды виртуализации защита технических средств защита информационной системы, ее средств, систем связи и передачи данных выявление инцидентов безопасности информации и реагирование на них управление конфигурацией информационной системы и системы защиты персональных данных
Внедрение системы защиты информации установка и настройка средств защиты информации разработка организационно-распорядительных документов внедрение организационных мер предварительные испытания опытная эксплуатация анализ уязвимостей приемочные испытания
Организационно-распорядительные документы устанавливают правила и процедуры по: идентификации и аутентификации субъектов доступа управлению доступом защите информации при использовании машинных носителей информации, в том числе порядок учета и хранения носителей регистрации событий безопасности обеспечению целостности информационной системы и информации физической защите технических средств, в том числе порядок доступа в служебные помещения управлению конфигурацией, в том числе порядок обновления ПО и контроля за несанкционированными подключениями технических средств и несанкционированной установкой ПО периодическому анализу угроз безопасности информации выявлению и реагированию на инциденты, связанные с обработкой и защитой информации обслуживанию системы защиты обучению и информированию пользователей
Контролю и анализу в первую очередь должны подвергаться: администрирование ИСПДн подключения внешних носителей к ИСПДн перенос информации с внешних носителей в ИСПДн перенос информации с ИСПДн на внешние носители вывод информации на «твердую копию» передача персональных данных по внешним каналам связи
Цели служебного расследования инцидентов, связанных с безопасностью информации: установление, привели ли нарушения требований к нарушению безопасности персональных данных, например их утечке, нарушению целостности, утере, или нет если да, установление, какие именно угрозы были реализованы установление причин появления нарушения выработка и реализация мер защиты
Оценка эффективности принятых мер Оценка эффективности реализованных в рамках системы защиты персональных данных мер по обеспечению безопасности персональных данных проводится оператором самостоятельно или с привлечением на договорной основе юридических лиц и индивидуальных предпринимателей, имеющих лицензию на осуществление деятельности по технической защите конфиденциальной информации. Указанная оценка проводится не реже одного раза в 3 года.
Наиболее важные мероприятия по защите информации в ходе эксплуатации системы защиты контроль состояния защиты информации, включая контроль за событиями и действиями пользователей обнаружение и регистрация инцидентов, выявление их причин, принятие мер по предупреждению и устранению инцидентов анализ и оценка функционирования системы защиты с целью выявления и устранения недостатков и совершенствования периодический анализ уязвимостей анализ изменения угроз и выявление новых угроз анализ влияния на систему защиты планируемых изменений в информационной системе
Рекомендации: Обеспечение неизменности состава технических и программных средств, а также средств защиты и их настроек, соблюдение утвержденного технологического процесса обработки информации и принятие мер по нейтрализации актуальных угроз, определенных в модели угроз – основные задачи, решение которых обеспечивает высокую степень защищенности информации в информационной системе
Спасибо за внимание! Контакты: АУ УР «РЦИ и ОКО» Павлов Александр Владиславович Тел.: Электронная почта: