ЗАЩИТА ПЕРСОНАЛЬНЫХ ДАННЫХ в информационных системах операторов связи. - презентация

1 ЗАЩИТА ПЕРСОНАЛЬНЫХ ДАННЫХ в информационных системах операторов связи

2 Информационные системы персональных данных должны быть приведены в соответствие с требованиями настоящего ФЗ не позднее 1 января 2010 года г.: Конвенция Совета Европы «О защите личности в связи с автоматической обработкой персональных данных» 2005 г.: Государственная Дума России «О ратификации Конвенции Совета Европы» 2006 г.: Федеральный закон 152-ФЗ от г. «О персональных данных» Федеральный закон 152-ФЗ вступил в силу в январе 2007 г. История

3 Аспекты, касающиеся защиты персональных данных в информационных системах операторов связи 1Правовые 2Организационные 3Физические 4Технические

4 Угрозы безопасности персональных данных ЦУС Оператор ввода данных (Менеджер) Абонент Угрозы безопасности ПДн Оператор ввода данных (Менеджер) Абонент

5 Основные ПДн, обрабатываемые операторами связи 1ФИО абонента 2Номер и серия паспорта 3Когда кем и где выдан паспорт 4Место прописки/регистрации 5Место проживания (место установления точки доступа Интернет) 6Домашний телефон 7Сотовый телефон 8Параметры компьютера и установленной операционной системы 9Внутренний или внешний IP-адрес, логин, пароль 10Адрес электронной почты, логин, пароль

6 Уголовная ответственность Административная ответственность В соответствии с «Трудовым Кодексом РФ» (ст. 90) лица, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных работника, несут ответственность в соответствии с федеральными законами. Виды ответственности за нарушение целостности ПДн Гражданско-правовая ответственность Дисциплинарная ответственность

7 Меры, необходимые для обеспечения безопасности ПДн 1 Описание защищаемой ИСПДн, предварительная классификация системы 2 Определение угроз безопасности ИСПДн и построение модели угроз 3 Определение класса ИСПДн на основе модели угроз безопасности 4 Предъявление требований к физической и технической защите ИСПДн определённого класса, а также к организационным мерам с учетом угроз 5 Выработка конкретных технических решений на основе технического проектирования с учётом требований безопасности информации 6 Разработка документации для обеспечения технических и организационных мер безопасности 7 Поставка, установка и наладка средств защиты информации на основе технического проекта 8 Аттестационные испытания объекта информатизации для предотвращения утечки ПДн по техническим каналам и несанкционированного доступа к ним 9 Аттестация ИСПДн и защищаемых помещений по требованиям безопасности

8 Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных Основные мероприятия по организации и техническому обеспечению безопасности персональных данных, обрабатываемых в информационных системах персональных данных Рекомендации по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных Перечень нормативно-методических документов ФСТЭК России в области персональных данных Порядок проведения классификации информационных систем персональных данных 5

9 Алгоритм создания системы защиты персональных данных 1 Определить класс информационной системы обработки ПДн 2 Определить требования безопасности для ИСПДн 3 Установить СЗИ в ИСПДн и настроить СЗПДн 4 Произвести испытания СЗПДн

10 Классификация информационных систем обработки персональных данных Категория 1 менее –100 тыс.свыше100 тыс. К1 К3К2К1 К3 К2 К4 ИС, для которых нарушения могут привести к значительным негативным последствиям для субъектов ПД ИС, для которых нарушения могут привести к негативным последствиям для субъектов ПД ИС, для которых нарушения могут привести к незначительным негативным последствиям для субъектов ПД ИС, для которых нарушения не приводят к негативным последствиям для субъектов ПД 2 3 4

11 Классы информационных систем К1 К2 К3 К4 Класс 1 Класс 2 Класс 3 Класс 4 ПД, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных и философских убеждений, состояния здоровья, интимной жизни ПД, позволяющие идентифицировать субъекта ПД и получить о нем дополнительную информацию, за исключением ПД, относящихся к категории 1 персональные данные, позволяющие идентифицировать субъекта ПД обезличенные и (или) общедоступные ПД

12 Необходимость аттестации ИСПДн К1 и К2 К3 К4 обязательная сертификация (аттестация) по требованиям безопасности информации декларирование соответствия или обязательная сертификация (аттестация) по требованиям безопасности информации (по решению оператора) оценка соответствия проводится по решению оператора

13 Получение лицензий ФЗ-128 от 8 августа 2001 г. «О лицензировании отдельных видов деятельности» Постановление Правительства Российской Федерации от 16 августа 2006 г. 504 «О лицензировании деятельности по технической защите конфиденциальной информации» должны получить В соответствии со следующими положениями: Лицензию на осуществление деятельности по технической защите конфиденциальной информации операторы ИСПДн 1, 2 классов и распределенных ИСПДн 3 класса Все средства защиты информации в ИСПДн должны быть сертифицированы ФСТЭК.

14 Осущетсвление криптографических операции с ПДн требуют получения соответствующих лицензий ФСБ: Получение лицензий Лицензия на распространение шифровальных (криптографических) средств Лицензия на техническое обслуживание шифровальных (криптографических) средств Лицензия на разработку, производство шифровальных (криптографических) средств, защищенных с использованием шифровальных (криптографических) средств информационных и телекоммуникационных систем Криптосредства иностранного производства не рассматриваются в качестве криптосредств, не являются сертифицированными средствами защиты информации и определяются как средства кодирования.

15 Затраты на осуществление мероприятий по защите персональных данных Наименование работ 1 Сроки выполнения работ Процент от общей стоимости работ 2 недели10 % 1 месяц10 % 1 месяц10 % 1 месяц10 % Обследование ИСПДн и подготовка отчёта Моделирование угроз безопасности ИСПДн и классификация ИСПДн Установка и настройка сертифицированных средств защиты информации Разработка пакета организационно-распорядительных документов месяц40 % Работы по аттестации 6 2 месяца20 % Работы по получению лицензий

16 ВОПРОСЫ ?