Скачать презентацию
Идет загрузка презентации. Пожалуйста, подождите
1
Организация работы по защите персональных данных в краевых специальных (коррекционных) образовательных учреждениях и образовательных учреждениях для детей-сирот и детей, оставшихся без попечения родителей Лавренко Михаил Иванович, главный специалист отдела информатизации и новых технологий министерства образования и науки Хабаровского края
2
Нормативные правовые акты, устанавливающие требования по защите персональных данных Конституция Российской Федерации (ст. 23, 24) Федеральные законы – Федеральный закон от ФЗ «О ратификации Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных»; – Федеральный закон от ФЗ «Об информации, информационных технологиях и о защите информации»; – Федеральный закон Российской Федерации от ФЗ «О персональных данных»; – Трудовой кодекс Российской Федерации от ФЗ (Глава 14 «Защита персональных данных работника»)
3
Федеральный закон Российской Федерации от ФЗ «О персональных данных» Статья 19. Меры по обеспечению безопасности персональных данных при их обработке 1. Оператор при обработке персональных данных обязан принимать необходимые организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных, а также от иных неправомерных действий. 2. Правительство Российской Федерации устанавливает требования к обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных.
4
Федеральный закон Российской Федерации от ФЗ «О персональных данных» Статья 25. Заключительные положения 3. Информационные системы персональных данных, созданные до 1 января 2011 года, должны быть приведены в соответствие с требованиями настоящего Федерального закона не позднее 1 июля 2011 года. (часть 3 в ред. Федерального закона от N 359-ФЗ)
5
Нормативные правовые акты, устанавливающие требования по защите персональных данных Постановления Правительства Российской Федерации – Постановление Правительства Российской Федерации от «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных»; – Постановление Правительства Российской Федерации от «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»
6
Постановление Правительства Российской Федерации от «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных» Устанавливает требования к обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных (ИСПДн) ИСПДн - совокупность персональных данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных с использованием средств автоматизации
7
Постановление Правительства Российской Федерации от «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных» Безопасность персональных данных достигается путем исключения несанкционированного, в том числе случайного, доступа к персональным данным, результатом которого может стать уничтожение, изменение, блокирование, копирование, распространение персональных данных, а также иных несанкционированных действий. Безопасность персональных данных обеспечивается системой защиты персональных данных (= организационные меры + средства защиты информации)
8
Постановление Правительства Российской Федерации от «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных» Методы и способы защиты информации в информационных системах устанавливаются ФСТЭК и ФСБ РФ в пределах их полномочий (Приказ ФСТЭК России от «Об утверждении Положения о методах и способах защиты информации в информационных системах персональных данных») Решением ФСТЭК России от года отменено применение с методических документов ФСТЭК России: - Основные мероприятия по организации и техническому обеспечению безопасности персональных данных, обрабатываемых в информационных системах персональных данных (утв. ФСТЭК России ) - Рекомендации по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных (утв. ФСТЭК России )
9
Постановление Правительства Российской Федерации от «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных» Не действуют требования: Оценка соответствия ИСПДн требованиям безопасности ПДн проводится в виде: для ИСПДн 1 и 2 классов – обязательной сертификации (аттестации) по требованиям безопасности информации; для ИСПДн 3 класса – декларирования соответствия требованиям безопасности информации. Достаточность принятых мер по обеспечению безопасности персональных данных при их обработке в информационных системах оценивается при проведении государственного контроля и надзора
10
Постановление Правительства Российской Федерации от «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных» Средства защиты информации, применяемые в информационных системах, в установленном порядке проходят процедуру оценки соответствия fstec.ru
11
Постановление Правительства Российской Федерации от «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных» Информационные системы классифицируются в зависимости от объема обрабатываемых ими персональных данных и угроз безопасности жизненно важным интересам личности, общества и государства (Приказ ФСТЭК России, ФСБ России, Мининформсвязи России от /86/20 «Об утверждении Порядка проведения классификации информационных систем персональных данных»)
12
Постановление Правительства Российской Федерации от «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных» При обработке персональных данных в информационной системе должно быть обеспечено: а) проведение мероприятий, направленных на предотвращение несанкционированного доступа к персональным данным б) своевременное обнаружение фактов несанкционированного доступа к персональным данным в) недопущение воздействия на технические средства автоматизированной обработки персональных данных, в результате которого может быть нарушено их функционирование г) возможность незамедлительного восстановления персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним д) постоянный контроль за обеспечением уровня защищенности персональных данных
13
Постановление Правительства Российской Федерации от «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных» Мероприятия по обеспечению безопасности персональных данных при их обработке в информационных системах включают в себя: а) определение угроз безопасности персональных данных при их обработке, формирование на их основе модели угроз «Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных» (Утв. ФСТЭК России ) «Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных» (Утв. ФСТЭК России )
14
Постановление Правительства Российской Федерации от «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных» Мероприятия по обеспечению безопасности персональных данных при их обработке в информационных системах включают в себя: б) разработку на основе модели угроз системы защиты персональных данных, обеспечивающей нейтрализацию предполагаемых угроз с использованием методов и способов защиты персональных данных, предусмотренных для соответствующего класса информационных систем Приказ ФСТЭК России от «Об утверждении Положения о методах и способах защиты информации в информационных системах персональных данных»
15
Постановление Правительства Российской Федерации от «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных» Мероприятия по обеспечению безопасности персональных данных при их обработке в информационных системах включают в себя: в) проверку готовности средств защиты информации к использованию с составлением заключений о возможности их эксплуатации г) установку и ввод в эксплуатацию средств защиты информации в соответствии с эксплуатационной и технической документацией д) обучение лиц, использующих средства защиты информации, применяемые в информационных системах, правилам работы с ними е) учет применяемых средств защиты информации, эксплуатационной и технической документации к ним, носителей персональных данных ж) учет лиц, допущенных к работе с персональными данными в информационной системе
16
Постановление Правительства Российской Федерации от «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных» Мероприятия по обеспечению безопасности персональных данных при их обработке в информационных системах включают в себя: з) контроль за соблюдением условий использования средств защиты информации, предусмотренных эксплуатационной и технической документацией; и) разбирательство и составление заключений по фактам несоблюдения условий хранения носителей персональных данных, использования средств защиты информации, которые могут привести к нарушению конфиденциальности персональных данных или другим нарушениям, приводящим к снижению уровня защищенности персональных данных, разработку и принятие мер по предотвращению возможных опасных последствий подобных нарушений; к) описание системы защиты персональных данных
17
Постановление Правительства Российской Федерации от «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных» Лица, доступ которых к персональным данным, обрабатываемым в информационной системе, необходим для выполнения служебных (трудовых) обязанностей, допускаются к соответствующим персональным данным на основании списка, утвержденного оператором или уполномоченным лицом.
18
Приказ ФСТЭК России, ФСБ России, Мининформсвязи России от /86/20 «Об утверждении Порядка проведения классификации информационных систем персональных данных» категория 1 - персональные данные, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных и философских убеждений, состояния здоровья, интимной жизни; категория 2 - персональные данные, позволяющие идентифицировать субъекта персональных данных и получить о нем дополнительную информацию, за исключением персональных данных, относящихся к категории 1; категория 3 - персональные данные, позволяющие идентифицировать субъекта персональных данных; категория 4 - обезличенные и (или) общедоступные персональные данные. Категория обрабатываемых персональных данных (Х ПД )
19
Приказ ФСТЭК России, ФСБ России, Мининформсвязи России от /86/20 «Об утверждении Порядка проведения классификации информационных систем персональных данных» Объем обрабатываемых персональных данных (Х НПД ) 1 - в информационной системе одновременно обрабатываются персональные данные более чем субъектов персональных данных или персональные данные субъектов персональных данных в пределах субъекта Российской Федерации или Российской Федерации в целом; 2 - в информационной системе одновременно обрабатываются персональные данные от 1000 до субъектов персональных данных или персональные данные субъектов персональных данных, работающих в отрасли экономики Российской Федерации, в органе государственной власти, проживающих в пределах муниципального образования; 3 - в информационной системе одновременно обрабатываются данные менее чем 1000 субъектов персональных данных или персональные данные субъектов персональных данных в пределах конкретной организации.
20
Приказ ФСТЭК России, ФСБ России, Мининформсвязи России от /86/20 «Об утверждении Порядка проведения классификации информационных систем персональных данных» По заданным оператором характеристикам безопасности персональных данных, обрабатываемых в информационной системе, информационные системы подразделяются на типовые и специальные информационные системы. Типовые информационные системы - информационные системы, в которых требуется обеспечение только конфиденциальности персональных данных. Специальные информационные системы - информационные системы, в которых вне зависимости от необходимости обеспечения конфиденциальности персональных данных требуется обеспечить хотя бы одну из характеристик безопасности персональных данных, отличную от конфиденциальности (защищенность от уничтожения, изменения, блокирования, а также иных несанкционированных действий). К специальным информационным системам должны быть отнесены: информационные системы, в которых обрабатываются персональные данные, касающиеся состояния здоровья субъектов персональных данных; информационные системы, в которых предусмотрено принятие на основании исключительно автоматизированной обработки персональных данных решений, порождающих юридические последствия в отношении субъекта персональных данных или иным образом затрагивающих его права и законные интересы.
21
Приказ ФСТЭК России, ФСБ России, Мининформсвязи России от /86/20 «Об утверждении Порядка проведения классификации информационных систем персональных данных» По структуре информационные системы подразделяются: на автономные (не подключенные к иным информационным системам) комплексы технических и программных средств, предназначенные для обработки персональных данных (автоматизированные рабочие места) на комплексы автоматизированных рабочих мест, объединенных в единую информационную систему средствами связи без использования технологии удаленного доступа (локальные информационные системы) на комплексы автоматизированных рабочих мест и (или) локальных информационных систем, объединенных в единую информационную систему средствами связи с использованием технологии удаленного доступа (распределенные информационные системы)
22
Приказ ФСТЭК России, ФСБ России, Мининформсвязи России от /86/20 «Об утверждении Порядка проведения классификации информационных систем персональных данных» По наличию подключений к сетям связи общего пользования и (или) сетям международного информационного обмена информационные системы подразделяются на системы, имеющие подключения, и системы, не имеющие подключений По режиму обработки персональных данных в информационной системе информационные системы подразделяются на однопользовательские и многопользовательские По разграничению прав доступа пользователей информационные системы подразделяются на системы без разграничения прав доступа и системы с разграничением прав доступа
23
Приказ ФСТЭК России, ФСБ России, Мининформсвязи России от /86/20 «Об утверждении Порядка проведения классификации информационных систем персональных данных» класс 1 (К1) - информационные системы, для которых нарушение заданной характеристики безопасности персональных данных, обрабатываемых в них, может привести к значительным негативным последствиям для субъектов персональных данных; класс 2 (К2) - информационные системы, для которых нарушение заданной характеристики безопасности персональных данных, обрабатываемых в них, может привести к негативным последствиям для субъектов персональных данных; класс 3 (К3) - информационные системы, для которых нарушение заданной характеристики безопасности персональных данных, обрабатываемых в них, может привести к незначительным негативным последствиям для субъектов персональных данных; класс 4 (К4) - информационные системы, для которых нарушение заданной характеристики безопасности персональных данных, обрабатываемых в них, не приводит к негативным последствиям для субъектов персональных данных. Хнпд/Хпд321 категория 4К4 категория 3КЗ К2 категория 2КЗК2К1 категория 1К1
24
Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных (Утв. ФСТЭК России ) 6.3. Типовая модель угроз безопасности персональных данных, обрабатываемых в локальных информационных системах персональных данных, не имеющих подключения к сетям связи общего пользования и (или) сетям международного информационного обмена Угрозы утечки информации по техническим каналам, в том числе: o угрозы утечки акустической (речевой) информации; o угрозы утечки видовой информации; o угрозы утечки информации по каналу ПЭМИН; Угрозы несанкционированного доступа к персональным данным, обрабатываемым в автоматизированном рабочем месте, в том числе: o угрозы анализа сетевого трафика с перехватом передаваемой по сети информации; o угрозы выявления паролей; o угрозы удаленного запуска приложений; угрозы внедрения по сети вредоносных программ
25
Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных Возможность реализации угрозы Показатель опасности угрозы низкаясредняявысокая Низкаянеактуальная актуальная Средняянеактуальнаяактуальная Высокаяактуальная Очень высокаяактуальная
26
Приказ ФСТЭК России от «Об утверждении Положения о методах и способах защиты информации в информационных системах персональных данных» Приложение к Положению о методах и способах защиты информации в информационных системах персональных данных МЕТОДЫ И СПОСОБЫ ЗАЩИТЫ ИНФОРМАЦИИ ОТ НЕСАНКЦИОНИРОВАННОГО ДОСТУПА В ЗАВИСИМОСТИ ОТ КЛАССА ИНФОРМАЦИОННОЙ СИСТЕМЫ
28
Информационное письмо министерства образования и науки от «Об обеспечении защиты персональных данных» Перечень специализированных организаций, имеющих лицензию на проведение работ в области защиты информации 1.ООО «Дальневосточный Специализированный Центр Безопасности Информации «МАСКОМ» 2.ЗАО «ЛАНИТ-ПАРТНЕР» 3.Хабаровский научно-технический центр филиал ФГУП «НПП «Гамма» 4.ООО ДРСЦ «КомпьюЛинк» 5.ОАО «Амурская ЭРА»
30
Информационное письмо министерства образования и науки от т «О выполнении требований по защите персональных данных» 1.Примерный перечень мероприятия по созданию системы защиты персональных данных 2.Перечень документов по организации работы по защите персональных данных
31
Планирование организационно-технических мероприятий по защите персональных данных Управление системой защиты Проведение совещаний при руководителе по вопросам защиты информации; Проведение занятия с работниками по вопросам информационной безопасности; Планирование финансовых средств на защиту информации; Разработка распорядительной документации учреждения по защите информации;
32
Планирование организационно-технических мероприятий по защите персональных данных Организационные мероприятия Проведение классификации информационной системы персональных данных; Определение круга лиц, имеющих доступ к защищаемой информации, и порядка их работы; Анализ физической и технической защищенности информационных ресурсов; Проведение опытной эксплуатации созданной информационной системы персональных данных; Анализ журналов регистрации системных событий, выявление попыток несанкционированных действий на созданном защищенном объекте; Проверка работоспособности, размещения и состава основных и вспомогательных технических средств на объектах информатизации; Проверка работоспособности технических средств защиты информации на объектах информатизации; Ввод созданной информационной системы персональных данных в эксплуатацию;
33
Планирование организационно-технических мероприятий по защите персональных данных Технические Установка средств антивирусного контроля; Установка на персональные компьютеры технических средств защиты; Установка средств резервного копирования информационных ресурсов; Резервное копирование информационных ресурсов; Смена паролей доступа к защищаемым информационным ресурсам;
Еще похожие презентации в нашем архиве:
