Практический опыт реализации требований по защите персональных данных МУ Информационно-методический центр Ходячих Андрей Викторович. - презентация

1 Практический опыт реализации требований по защите персональных данных МУ Информационно-методический центр Ходячих Андрей Викторович

2 Нормативная база по защите ПДн Федеральный закон от 27 июля 2006 г. 152-ФЗ «О персональных данных» Положение об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных Постановление правительства РФ от г Порядок проведения классификации информационных систем персональных данных Приказы ФСТЭК России, ФСБ России, Мининформсвязи России от 13 февраля 2008 г. 55/86/20 Нормативные документы ФСТЭК России Нормативные документы ФСБ России Основные мероприятия по организации и техническому обеспечению безопасности ПДн, обрабатываемых в информационных системах ПДн Рекомендации обеспечению безопасности ПДн при их обработке в информационных системах ПДн Методика определения актуальных угроз безопасности ПДн при их обработке в информационных системах ПДн Базовая модель угроз безопасности ПДн при их обработке в информационных системах ПДн Методические рекомендации по обеспечению с помощью криптосредств безопасности персональных данных при их обработке ИСПДн с использованием средств автоматизации Типовые требования по организации и обеспечению функционирования шифровальных (криптографических) средств …в случае их использования для обеспечения безопасности ПДн при их обработке в ИСПДн

3 Система защиты ИСПДн Интернет Средства предотвращения утечки информации по техническим каналам Средства предотвращения утечки информации по техническим каналам Межсетевые экраны Шлюзы безопасности Межсетевые экраны Шлюзы безопасности Средства защиты информации, представленной в виде информативных электрических сигналов, физических полей Шифровальные (криптографические) средства защиты информации Шифровальные (криптографические) средства защиты информации Средства предотвращения несанкционированного доступа к информации: 1. Защищенные ОС: 2. Специализированные средства ЗИ Средства предотвращения несанкционированного доступа к информации: 1. Защищенные ОС: 2. Специализированные средства ЗИ Средства защиты речевой информации Средства защиты речевой информации Используемые в ИСПДн информационные технологии. Используемые в ИСПДн информационные технологии. Средства предотвращения программно- технических воздействий 1. Антивирусные средства 2. Проверка (сертификация) ПО на отсутствие НДВ. 3. Системы обнаружения вторжений и компьютерных атак Средства предотвращения программно- технических воздействий 1. Антивирусные средства 2. Проверка (сертификация) ПО на отсутствие НДВ. 3. Системы обнаружения вторжений и компьютерных атак Средства защиты носителей информации Средства защиты носителей информации

4 Преемственность требований Базирование на требованиях апробированных документов: -РД АС; -РД СВТ -РД МЭ -РД НДВ -СТР-К Учет уровня развития средств и способов ЗИ: -контроль защищенности -антивирусная защита -расширенные требования по управлению доступом, регистрации, сигнализации о нарушениях защиты. правила пользования средствам защиты информации постоянный контроль за обеспечением уровня защищенности ПДн обнаружение фактов несанкционированного доступа к ПДн обнаружение фактов несанкционированного доступа к ПДн регистрация запросов на получение ПДн, и фактов предоставления данных по этим запросам средствами информационной системы регистрация запросов на получение ПДн, и фактов предоставления данных по этим запросам средствами информационной системы

5 Классы типовых информационных систем ПДн : класс 1 (К1) – информационные системы, для которых нарушение заданной характеристики безопасности ПДн, обрабатываемых в них, может привести к значительным негативным последствиям для субъектов ПДн; класс 2 (К2) – информационные системы, для которых нарушение заданной характеристики безопасности ПДн, обрабатываемых в них, может привести к негативным последствиям для субъектов ПДн; класс 3 (К3) – информационные системы, для которых нарушение заданной характеристики безопасности ПДн, обрабатываемых в них, может привести к незначительным негативным последствиям для субъектов ПДн; класс 4 (К4) – информационные системы, для которых нарушение заданной характеристики безопасности ПДн, обрабатываемых в них, не приводит к негативным последствиям для субъектов ПДн Порядок проведения классификации информационных систем персональных данных Основные особенности Объем ПДн Категория ПДн 321 Категория 4 К4К4К4 Категория 3 К3К3К2 Категория 2 К3К2К1 Категория 1 К1К1К1

6 Модель угроз – основа для уточнения требований

7 Область автоматизации: бухгалтерия, кадры и др. широко распространенные задачи. Встраиваемые функции: -управление доступом к ПДн -регистрация доступа к ПДн -учет создаваемых записей ПДн -сигнализация нарушения защиты ПДн -контроль целостности встроенных средств защиты ПДн Эффект: -возможность полного контроля ПДн на уровне полей, записей и любых других форм хранения ПДн -сопровождение единым разработчиком -сертификационная поддержка (исходные тексты и документация) -возможность построения комплексного решения -возможность широкого тиражирования -унификация многочисленных ИСПДн Встраивание механизмов защиты ПДн в прикладное ПО

8 Состав решения: -сертифицированная платформа (ОС, СУБД); -сертифицированное прикладное ПО, со встроенными механизмами защиты; -организационные мероприятия для объекта информатизации; -комплект эксплуатационных и организационно- распорядительных документов Эффект: -выполнение требований по защите ПДн на множестве типовых объектов -обеспечение возможности использования для тиражирования решения партнерской сетью разработчиков прикладного ПО -возможность модернизации ранее созданных ИСПДн -сокращение сроков и стоимости внедрения для значительного числа ИСПДн Разработка комплексного решения по защите ПДн

9 Спасибо за внимание !