Защита персональных данных Обязанности оператора автоматизированной информационной системы по защите персональных данных.

Презентация:



Advertisements
Похожие презентации
ВОПРОСЫ ЗАЩИТЫ ИНФОРМАЦИИ И ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ ПРИ ИХ ОБРАБОТКЕ В ИНФОРМАЦИОННЫХ СИСТЕМАХ В СВЯЗИ С ИЗДАНИЕМ ПРИКАЗА ФСТЭК РОССИИ.
Advertisements

Семинар «Организационные меры информационной безопасности в образовательной организации» Часть
Законодательная и нормативная база правового регулирования вопросов защиты персональных данных. Руководящие документы по защите персональных данных Законодательная.
Этапы создания системы защиты персональных данных СПЕЦИАЛЬНЫЕ ВЫЧИСЛИТЕЛЬНЫЕ КОМПЛЕКСЫ Научно-производственное предприятие.
1 Статья 3. Основные понятия, используемые в настоящем Федеральном законе Статья 3. Основные понятия, используемые в настоящем Федеральном законе Персональные.
Проведение ведомственных выездных проверок организации защиты персональных данных при их обработке в учреждениях здравоохранения Челябинской области в.
В соответствии со статьей 19 Федерального закона «О персональных данных» Правительство Российской Федерации постановляет: Положение об обеспечении 1.
Защита персональных данных Изменение законодательства и преемственность организационно-технических решений Сафонов Сергей Александрович заместитель начальника.
Общий порядок действий оператора по выполнению требований Федерального закона от ФЗ «О персональных данных»
Защита персональных данных в информационных системах 24 ноября 2010 года.
Требования и методы защиты персональных данных ООО "МКЦ "АСТА-информ", (351) ,
Персональные данные - любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу ( субъекту персональных.
Управление Роскомнадзора по Республике Крым и городу Севастополь Контактный телефон: ( ) Сайт Управления : 1 Тема:
Центр безопасности информации Оценка соответствия ИСПДн различных классов требованиям безопасности ПДн.
Осенний документооборот 2014 Москва, 17 октября Вопросы информационной безопасности при использовании мобильных устройств для работы с корпоративными информационными.
Обеспечение информационной безопасности государственных и муниципальных информационных систем Докладчик: заместитель директора бюджетного учреждения в.
Основные мероприятия по организации обеспечения безопасности персональных данных Выполнила студентка группы 11 инф 112: Анянова Радослава.
2009 г. Об обеспечении безопасности персональных данных с использованием шифровальных (криптографических) средств.
Заместитель директора ООО «ИТ Энигма» по информационной безопасности Метальников Александр ОСНОВНЫЕ ВОПРОСЫ РАБОТЫ ИТ- СПЕЦИАЛИСТА ЛПУ ПО ЗАЩИТЕ ПДН.
Управление ФСТЭК России по Сибирскому федеральному округу «О требованиях к защите персональных данных при их обработке в информационных системах персональных.
Транксрипт:

Защита персональных данных Обязанности оператора автоматизированной информационной системы по защите персональных данных

Федеральный закон от 27 июля 2006 г. 152-ФЗ «О персональных данных» Ст. 3. Оператор – государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными. Ст. 19. Оператор при обработке персональных данных обязан принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты персональных данных от неправомерного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий.

АУ УР «РЦИиОКО» является оператором ИСПДн Государственные ИС: Федеральная ИС «ЕГЭ и ГИА» Региональная ИС «ЕГЭ» Региональная ИС «ГИА-9» Региональных нет ИС с персональными данными: Ведомственные ИС АИС «Электронная школа» АИС «Электронный колледж» Внутренние ИС

Требования к защите «Требования к защите персональных данных при их обработке в информационных системах персональных данных», утверждены постановлением Правительства Российской Федерации от 1 ноября 2012 г. 1119

Состав мер по защите «Состав и содержание организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных», утверждены приказом ФСТЭК России от 18 февраля 2013 г. 21, зарегистрированы в Министерстве юстиции Российской Федерации, регистрационный от 14 мая 2013

Необходимые меры Организационное меры - это мероприятия, проведение которых не требует применения специально разработанных технических средств Технические меры предусматривают применение специальных технических средств и реализацию технических решений

Мероприятия по обеспечению защиты информации, содержащейся в информационной системе: формирование требований к защите информации, содержащейся в информационной системе разработка системы защиты информации информационной системы внедрение системы защиты информации информационной системы обеспечение защиты информации в ходе эксплуатации информационной системы

Ответственный за обеспечение безопасности персональных данных В соответствии с «Требованиями к защите персональных данных…», утвержденными постановлением Правительства Российской Федерации 1119: для обеспечения 3-го и 2-го уровней защищенности персональных данных назначается должностное лицо, ответственное за обеспечение безопасности персональных данных в информационной системе

Формирование требований к системе защиты информации принятие решения о необходимости защиты информации, содержащейся в информационной системе определение уровней защищенности персональных данных в информационной системе, при обработке персональных данных в государственной информационной системе - определяется класс защищенности информационной системы определение актуальных угроз безопасности информации и разработку на их основе модели угроз безопасности информации определение требований к системе защиты информации информационной системы

Определение защищаемой информации В целях определения защищаемой информации, то есть – персональных данных, подвергающихся автоматизированной обработке, технических средств, в которых она циркулирует, программных продуктов, с использованием которых осуществляется обработка, а также объектов и субъектов доступа и собственно технологии обработки персональных данных, рекомендуется провести обследование эксплуатируемых информационных систем или другими словами инвентаризацию

Объекты защиты в информационной системе информация – персональные данные технические средства программное обеспечение: общесистемное, прикладное, специальное средства защиты информации

Состав технического паспорта В техническом паспорте рекомендуется отразить: состав технических средств расположение технических средств установленные программные средства установленные средства защиты

Состав описания технологического процесса обработки информации описание объектов доступа - к каким защищаемым техническим средствам и информационным ресурсам будет осуществляться доступ описание субъектов доступа - какие лица и (или) технические средства будут осуществлять доступ к объектам доступа особенности технологического процесса обработки информации, а именно, каким образом и с каких носителей информация вводится в ИСПДн, каким образом и на какие носители информация выводится, осуществляется ли обмен информацией со сторонними организациями, если да, то каким образом, с использованием каких носителей, по каким каналам связи

Определение уровня защищенности Уровни защищенности персональных данных устанавливается в соответствии с «Требованиями к защите персональных данных при их обработке в информационных системах персональных данных», утвержденных постановлением Правительства Российской Федерации от 1 ноября 2012 г Устанавливаются 4 уровня защищенности. самый низкий класс – четвертый, самый высокий - первый

Требования для 4 уровня защищенности организация режима обеспечения безопасности помещений, в которых размещена информационная система, препятствующего возможности неконтролируемого проникновения или пребывания в этих помещениях лиц, не имеющих права доступа в эти помещения; обеспечение сохранности носителей персональных данных; утверждение руководителем оператора документа, определяющего перечень лиц, доступ которых к персональным данным, обрабатываемым в информационной системе, необходим для выполнения ими служебных (трудовых) обязанностей; использование средств защиты информации, прошедших процедуру оценки соответствия требованиям законодательства Российской Федерации в области обеспечения безопасности информации, в случае, когда применение таких средств необходимо для нейтрализации актуальных угроз.

Требования для 3 уровня защищенности Для обеспечения 3 уровня защищенности персональных данных необходимо выполнение требований для 4 уровня и, кроме того: необходимо, чтобы было назначено должностное лицо (работник), ответственный за обеспечение безопасности персональных данных в информационной системе.

Состав мер по обеспечению безопасности персональных данных: идентификация и аутентификация субъектов доступа и объектов доступа управление доступом субъектов доступа к объектам доступа ограничение программной среды регистрация событий безопасности антивирусная защита обнаружение вторжений контроль (анализ) защищенности персональных данных обеспечение целостности информационной системы и персональных данных обеспечение доступности персональных данных защита среды виртуализации защита технических средств защита информационной системы, ее средств, систем связи и передачи данных выявление инцидентов безопасности информации и реагирование на них управление конфигурацией информационной системы и системы защиты персональных данных

Внедрение системы защиты информации установка и настройка средств защиты информации разработка организационно-распорядительных документов внедрение организационных мер предварительные испытания опытная эксплуатация анализ уязвимостей приемочные испытания

Организационно-распорядительные документы устанавливают правила и процедуры по: идентификации и аутентификации субъектов доступа управлению доступом защите информации при использовании машинных носителей информации, в том числе порядок учета и хранения носителей регистрации событий безопасности обеспечению целостности информационной системы и информации физической защите технических средств, в том числе порядок доступа в служебные помещения управлению конфигурацией, в том числе порядок обновления ПО и контроля за несанкционированными подключениями технических средств и несанкционированной установкой ПО периодическому анализу угроз безопасности информации выявлению и реагированию на инциденты, связанные с обработкой и защитой информации обслуживанию системы защиты обучению и информированию пользователей

Контролю и анализу в первую очередь должны подвергаться: администрирование ИСПДн подключения внешних носителей к ИСПДн перенос информации с внешних носителей в ИСПДн перенос информации с ИСПДн на внешние носители вывод информации на «твердую копию» передача персональных данных по внешним каналам связи

Цели служебного расследования инцидентов, связанных с безопасностью информации: установление, привели ли нарушения требований к нарушению безопасности персональных данных, например их утечке, нарушению целостности, утере, или нет если да, установление, какие именно угрозы были реализованы установление причин появления нарушения выработка и реализация мер защиты

Оценка эффективности принятых мер Оценка эффективности реализованных в рамках системы защиты персональных данных мер по обеспечению безопасности персональных данных проводится оператором самостоятельно или с привлечением на договорной основе юридических лиц и индивидуальных предпринимателей, имеющих лицензию на осуществление деятельности по технической защите конфиденциальной информации. Указанная оценка проводится не реже одного раза в 3 года.

Наиболее важные мероприятия по защите информации в ходе эксплуатации системы защиты контроль состояния защиты информации, включая контроль за событиями и действиями пользователей обнаружение и регистрация инцидентов, выявление их причин, принятие мер по предупреждению и устранению инцидентов анализ и оценка функционирования системы защиты с целью выявления и устранения недостатков и совершенствования периодический анализ уязвимостей анализ изменения угроз и выявление новых угроз анализ влияния на систему защиты планируемых изменений в информационной системе

Рекомендации: Обеспечение неизменности состава технических и программных средств, а также средств защиты и их настроек, соблюдение утвержденного технологического процесса обработки информации и принятие мер по нейтрализации актуальных угроз, определенных в модели угроз – основные задачи, решение которых обеспечивает высокую степень защищенности информации в информационной системе

Спасибо за внимание! Контакты: АУ УР «РЦИ и ОКО» Павлов Александр Владиславович Тел.: Электронная почта: