Подход к защите персональных данных после 15 марта 2010 г. Что изменилось? 2010 г. - презентация

1 Подход к защите персональных данных после 15 марта 2010 г. Что изменилось? 2010 г.

2 © ReignVox Нормативно-правовая база Подход к защите ПДн после 15 марта 2010 года

3 © ReignVox Нормативно-методические документы ФСТЭК России 1.Приказ ФСТЭК России 58 от 5 февраля 2010 г. "Об утверждении положения о методах и способах защиты информации в информационных системах персональных данных" 2.Решение ФСТЭК России от 5 марта 2010 г. не применять с 15 марта 2010 г. следующие методические документы ФСТЭК России: Основные мероприятия … Рекомендации по обеспечению безопасности … Подход к защите ПДн после 15 марта 2010 года 3

4 © ReignVox Нормативно-правовая база Подход к защите ПДн после 15 марта 2010 года

5 © ReignVox Что изменилось? Конкретизированы методы и способы защиты при взаимодействии ИС с информационно-телекоммуникационными сетями международного информационного обмена (сетями связи общего пользования) Конкретизированы методы и способы защиты информации от НСД при организации удаленного доступа к ИС через сети связи общего пользования Требования к антивирусной защите Конкретизированы требования контроля отсутствия НДВ Конкретизированы требования по защите от утечек по техническим каналам Конкретизированы случаи применения средств (систем) анализа защищенности и обнаружения вторжений Прозрачная преемственность требований по защите с повышением класса ИС Подход к защите ПДн после 15 марта 2010 года ?

6 © ReignVox Приказ 58 ФСТЭК России от «… В зависимости от особенностей обработки персональных данных и структуры информационных систем могут разрабатываться и применяться другие методы защиты информации от НСД, обеспечивающие нейтрализацию угроз безопасности персональных данных …» "Об утверждении Положения о методах и способах защиты информации в информационных системах персональных данных" Подход к защите ПДн после 15 марта 2010 года

7 © ReignVox Взаимодействие с сетями связи общего пользования Методы и способы защиты при взаимодействии ИС с информационно-телекоммуникационными сетями международного информационного обмена (сетями связи общего пользования) : межсетевое экранирование обнаружение вторжений в информационную систему анализ защищенности информационных систем защита информации при ее передаче по каналам связи использование смарт-карт, электронных замков и других носителей информации использование средств антивирусной защиты централизованное управление системой защиты персональных данных Подход к защите ПДн после 15 марта 2010 года

8 © ReignVox Взаимодействие через сети связи общего пользования Методы и способы защиты информации от НСД для обеспечения безопасности ПДн при межсетевом взаимодействии отдельных информационных систем через информационно-телекоммуникационную сеть международного информационного обмена (сеть связи общего пользования): создание канала связи, обеспечивающего защиту передаваемой информации осуществление аутентификации взаимодействующих информационных систем и проверка подлинности пользователей и целостности передаваемых данных Подход к защите ПДн после 15 марта 2010 года

9 © ReignVox Взаимодействие ИС разных операторов Методы и способы защиты информации от НСД при межсетевом взаимодействии отдельных ИС разных операторов через информационно- телекоммуникационную сеть международного информационного обмена (сеть связи общего пользования): создание канала связи, обеспечивающего защиту передаваемой информации аутентификация взаимодействующих информационных систем и проверка подлинности пользователей и целостности передаваемых данных обеспечение предотвращения возможности отрицания пользователем факта отправки персональных данных другому пользователю обеспечение предотвращения возможности отрицания пользователем факта получения персональных данных от другого пользователя Подход к защите ПДн после 15 марта 2010 года

10 © ReignVox Взаимодействие ИС разных операторов Методы и способы защиты информации от НСД для обеспечения безопасности ПДн при подключении ИС к информационно-телекоммуникационным сетям международного информационного обмена (сетям связи общего пользования) с целью получения общедоступной информации: фильтрация входящих (исходящих) сетевых пакетов по правилам, заданным оператором (уполномоченным лицом) периодический анализ безопасности установленных МЭ на основе имитации внешних атак на ИС активный аудит безопасности ИС на предмет обнаружения в режиме реального времени несанкционированной сетевой активности анализ принимаемой по информационно-телекоммуникационным сетям международного информационного обмена (сетям связи общего пользования) информации, в том числе на наличие компьютерных вирусов Подход к защите ПДн после 15 марта 2010 года

11 © ReignVox Антивирусная защита Было: Более 20 пунктов, устанавливающих требования к средствам антивирусной защиты Стало: 2.3. В информационных системах, имеющих подключение к информационно- телекоммуникационным сетям международного информационного обмена (сетям связи общего пользования), или при функционировании которых предусмотрено использование съемных носителей информации, используются средства антивирусной защиты Подход к защите ПДн после 15 марта 2010 года

12 © ReignVox Контроль отсутствия НДВ Программное обеспечение средств защиты информации, применяемых в информационных системах 1 класса, проходит контроль отсутствия недекларированных возможностей. Необходимость проведения контроля отсутствия недекларированных возможностей программного обеспечения средств защиты информации, применяемых в информационных системах 2 и 3 классов, определяется оператором (уполномоченным лицом) Подход к защите ПДн после 15 марта 2010 года

13 © ReignVox Защита от утечки по техническим каналам 3.2. Для исключения утечки ПДн за счет ПЭМИН в ИС 1 класса могут применяться следующие методы и способы защиты информации: использование технических средств в защищенном исполнении использование средств защиты информации, прошедших в установленном порядке процедуру оценки соответствия размещение объектов защиты в соответствии с предписанием на эксплуатацию … 3.3. В ИС 2 класса для обработки информации используются СВТ, удовлетворяющие требованиям национальных стандартов по электромагнитной совместимости, по безопасности и эргономическим требованиям к средствам отображения информации, по санитарным нормам, предъявляемым к видеодисплейным терминалам средств вычислительной техники Подход к защите ПДн после 15 марта 2010 года

14 © ReignVox Необходимость получения лицензии на ТЗКИ 128-ФЗ «О лицензировании отдельных видов деятельности», ст. 4 К лицензируемым видам деятельности относятся виды деятельности, осуществление которых может повлечь за собой нанесение ущерба правам, законным интересам, здоровью граждан, обороне и безопасности государства, культурному наследию народов Российской Федерации и регулирование которых не может осуществляться иными методами, кроме как лицензированием Перечень сведений конфиденциального характера, п.1 Сведения о фактах, событиях и обстоятельствах частной жизни гражданина, позволяющие идентифицировать его личность (персональные данные), за исключением сведений, подлежащих распространению в средствах массовой информации в установленных федеральными законами случаях, относятся к сведениям конфиденциального характера Подход к защите ПДн после 15 марта 2010 года

15 © ReignVox Необходимость получения лицензии на ТЗКИ 152-ФЗ «О персональных данных», ч.1, ст. 19 Оператор при обработке персональных данных обязан принимать необходимые организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных, а также от иных неправомерных действий Положение о лицензировании деятельности по технической защите конфиденциальной информации, п.2 Под технической защитой конфиденциальной информации понимается комплекс мероприятий и (или) услуг по ее защите от несанкционированного доступа, в том числе и по техническим каналам, а также от специальных воздействий на такую информацию в целях ее уничтожения, искажения или блокирования доступа к ней Подход к защите ПДн после 15 марта 2010 года

16 © ReignVox Необходимость получения лицензии на ТЗКИ 152-ФЗ «О персональных данных», ст. 3 Оператор - государственный орган, муниципальный орган, юридическое или физическое лицо, организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели и содержание обработки персональных данных 128-ФЗ «О лицензировании отдельных видов деятельности», ст. 2 Лицензиат – юридическое лицо или индивидуальный предприниматель, имеющие лицензию на осуществление конкретного вида деятельности Подход к защите ПДн после 15 марта 2010 года

17 © ReignVox Необходимость получения лицензии на ТЗКИ Вывод Деятельность по технической защите конфиденциальной информации (комплекс мероприятий и (или) услуг по ее защите от несанкционированного доступа, в том числе и по техническим каналам, а также от специальных воздействий на такую информацию в целях ее уничтожения, искажения или блокирования доступа к ней) является лицензируемым видом деятельности В случае если юридическое лицо или индивидуальный предприниматель, являются операторами персональных данных, то они обязаны принимать необходимые организационные и технические меры для защиты персональных данных (осуществлять комплекс мероприятий по защите) и соответственно, обязаны иметь лицензию на деятельность по технической защите конфиденциальной информации Подход к защите ПДн после 15 марта 2010 года

18 © ReignVox Оценка (подтверждение) соответствия 184-ФЗ "О техническом регулировании" Статья 20. Формы подтверждения соответствия 1. Подтверждение соответствия на территории Российской Федерации может носить добровольный или обязательный характер. 2. Добровольное подтверждение соответствия осуществляется в форме добровольной сертификации. 3. Обязательное подтверждение соответствия осуществляется в формах: принятия декларации о соответствии соответствия обязательной сертификации Подход к защите ПДн после 15 марта 2010 года

19 © ReignVox Оценка (подтверждение) соответствия 1. Добровольное подтверждение соответствия может осуществляться для установления соответствия национальным стандартам, стандартам организаций, сводам правил, системам добровольной сертификации, условиям договоров. Системы добровольной сертификации отсутствуют. 2. Обязательное подтверждение соответствия проводится только в случаях, установленных соответствующим техническим регламентом, и исключительно на соответствие требованиям технического регламента. Технические регламенты отсутствуют. 3. Система сертификации средств защиты информации по требованиям безопасности информации РОСС RU БИ00 Система аттестации ОИ является составной частью единой системы сертификации… Подход к защите ПДн после 15 марта 2010 года

20 © ReignVox Подход к защите ПДн после 15 марта 2010 года 20 ЗАО "Рэйнвокс" , Москва, Старопетровский проезд, 7а Тел:+7 (495) Факс:+7 (495)