Требования нормативных правовых актов Российской Федерации и методических

Зарегистрируйтесь, чтобы просмотреть полный документ!

Требования нормативных правовых актов Российской Федерации и методических документов ФСТЭК России по обеспечению безопасности персональных данных ФГБОУ ВПО «ПГУПС» Доцент кафедры «Информатика и информационная безопасность» Кандидат военных наук, доцент В. А. Кулишкин Санкт-Петербург 2013 год

Общая схема организации работ по защите персональных данных Президент Российской Федерации Правительство Российской Федерации Федеральное Собрание Российской Федерации Уровни защищённости и требования по защите Реестр операторов информационных систем персональных данных Отчёт Уполномоченный орган по защите прав субъектов персональных данныхфедеральный орган исполнительной власти, осуществляющий функции по контролю и надзору в сфере информационных технологий и связи (Роскомнадзор) Оператор Информационные системы персональных данных Персональные данные Специальные категории персональных данных ФСБ России 1/31/2018 8: 07 PM Биометрические персональные данные ФСТЭК России Субъект персональных данных (граждане Российской Федерации) Минкомсвязь России 2 2

Структура документов в области обеспечения безопасности персональных данных при их обработке в ИСПДн ФЗ «О персональных данных» от 27. 07. 2006 года № 152 -ФЗ в ред. ФЗ от 25. 07. 2011 года № 261 -ФЗ Законом регулируются отношения, связанные с обработкой персональных данных с использованием средств автоматизации или без использования таких средств Постановление Правительства РФ № 1119 от 01. 11. 2012 года «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных» Устанавливает общие требования к обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных Приказ ФСТЭК России от 05. 02. 2010 № 58 «Об утверждении положения о методах и способах защиты информации в ИСПДн» Комплекты документов ФСТЭК и ФСБ России в области обеспечения безопасности персональных данных при их обработке в ИСПДн Устанавливают конкретные требования к обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных Совместный приказ ФСТЭК России, ФСБ России, Определяет порядок проведение классификации Мининформсвязи России № 55/86/20 от 13. 02. 2008 года «Об утверждении порядка информационных систем персональных данных проведения классификации ИСПД» Реестр сертифицированных средств защиты информации ФСТЭК России Реестр сертифицированных средств защиты информации ФСБ России Определяют перечень сертифицированных СЗИ, которые можно применять для обеспечения безопасности персональных данных 1/31/2018 8: 07 PM 3 3

Требования Федерального закона от 27. 07. 2006 г. № 152 -ФЗ «О персональных данных» (в ред. ФЗ от 25. 07. 2011 № 261 -ФЗ) Дополнения, внесенные в Федеральный закон «О персональных данных» Статья 19. Меры по обеспечению безопасности персональных данных при их обработке 1) определение угроз безопасности персональных данных при их обработке в информационных системах персональных данных; 2) применение организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные Правительством Российской Федерации уровни защищенности персональных данных; 3) применение прошедших в установленном порядке процедуру оценки соответствия средств защиты информации; 4) оценка эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных; 5) учет машинных носителей персональных данных; 6) обнаружение фактов несанкционированного доступа к персональным данным и принятием мер; 7) восстановление персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним; 8) установление правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечением регистрации и учета всех действий, совершаемых с персональными данными в информационной системе персональных данных; 9) контроль за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищенности информационных систем персональных данных. 1/31/2018 8: 07 PM 4 4

Контрольные полномочия по контролю и надзору за 5 выполнением организационных и технических мер по обеспечению безопасности персональных данных Правительство Российской Федерации ФСБ России ФСТЭК России Негосударственные информационные системы Государственные информационные системы персональных данных 1/31/2018 8: 07 PM 5

Проекты постановлений Правительства Российской Федерации 6 О перечне мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами Минкомсвязь России, ФСБ России, ФСТЭК России, Роскомнадзор - 2012 г. Об установлении уровней защищенности персональных данных при их обработке в информационных системах персональных данных в зависимости от угроз безопасности этих данных ФСБ России, ФСТЭК России, Минкомсвязь России - 2012 г. Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных, исполнение которых обеспечивает установленные уровни защищенности персональных данных ФСБ России, ФСТЭК России, Минкомсвязь России - 2012 г. Об утверждении порядка согласования решений ассоциаций, союзов и иных объединений операторов об определении дополнительных угроз безопасности персональных данных, с федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, и федеральным органом исполнительной власти, уполномоченным в области противодействия техническим разведкам и технической защиты информации 1/31/2018 8: 07 PM ФСБ России, ФСТЭК России - 2012 г. 6

Определение уровня защищённости персональных данных при их обработке в информационных системах персональных данных 1/31/2018 8: 07 PM 7 7

Требования к обеспечению безопасности персональных данных в зависимости от уровня защищённости Требования к защите персональных данных УЗ 1 УЗ 2 УЗ 3 УЗ 4 Технические средства защиты Применение СЗИ в соответствии с документами ФСТЭК России и ФСБ России (будут детализироваться) + + Применение СЗИ, прошедших процедуру оценки соответствия + + - - Организационные и другие технические меры Организация режима обеспечения безопасности помещений, в которых размещена ИСПДн, исключающий возможность неконтролируемого проникновения или пребывания в этих помещениях посторонних лиц + + Обеспечение сохранности носителей персональных данных + + Утверждение перечня лиц, доступ которых к персональным данным, обрабатываемым в ИСПДн, необходим для выполнения ими служебных обязанностей + + Назначение работника, ответственного за обеспечение безопасности персональных данных в ИСПДн + + + - Обеспечение разграничения доступа к содержанию электронного журнала сообщений + + + - Обеспечение регистрации факта изменения полномочий субъектов доступа автоматизированными средствами ИСПДн + - - - Назначение структурного подразделения, ответственного за обеспечение безопасности персональных данных в ИСПДн + - - - 1/31/2018 8: 07 PM 8 8

Проекты приказов федеральных органов исполнительной власти Поручение Правительства Российской Федерации от 3 ноября 2011 г. № ВВ-П 39 -7752 Приказ ФСБ России об утверждении состава и содержания необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, в сфере деятельности ФСБ России 2012 - 2013 гг. Приказ ФСТЭК России об утверждении состава и содержания необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, в сфере деятельности ФСТЭК России 2012 - 2013 гг. Приказ Роскомнадзора об утверждении перечня иностранных государств, не являющихся сторонами Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных, и обеспечивающих адекватную защиту прав субъектов персональных данных 2012 - 2013 гг. 1/31/2018 8: 07 PM 9 9

Определение угроз безопасности персональных данных, актуальных при осуществлении различных видов деятельности Ассоциации Союзы Объединения Фонды операторов Дополнительные угрозы безопасности Отраслевые модели угроз ФСТЭК России 1/31/2018 8: 07 PM Порядок согласования определен Правительством Российской Федерации 10 ФСБ России 10

Требования «Положения об обеспечении безопасности персональных данных при их обработке в ИСПДн» Определение угроз безопасности персональных данных при их обработке, формирование на их основе модели угроз. Разработка на основе модели угроз системы защиты персональных данных, обеспечивающей нейтрализацию предполагаемых угроз с использованием методов и способов защиты персональных данных, предусмотренных для соответствующего класса информационных систем. Применение в информационных системах средств защиты информации, в установленном порядке прошедших процедуру оценки соответствия. Обучение лиц, использующих средства защиты информации, применяемые в информационных системах, правилам работы с ними. Учет применяемых средств защиты информации, эксплуатационной и технической документации к ним, носителей персональных данных. Учет лиц, допущенных к работе с персональными данными в информационной системе. Описание системы защиты персональных данных. Защита каналов связи, по которым осуществляется обмен персональными данными, путем реализации соответствующих организационных мер или путем применения технических средств. 1/31/2018 8: 07 PM 11 11

Положение о методах и способах защиты информации в информационных системах персональных данных 12 Для выбора и реализации методов и способов защиты информации в информационной системе оператором или уполномоченным лицом может назначаться структурное подразделение или должностное лицо (работник), ответственные за обеспечение безопасности персональных данных может привлекаться организация, имеющая оформленную в установленном порядке лицензию на осуществление деятельности по технической защите конфиденциальной информации Выбор и реализация методов и способов защиты информации в информационной системе осуществляются на основе определяемых оператором (уполномоченным лицом) угроз безопасности персональных данных (модели угроз) БАЗОВАЯ МОДЕЛЬ УГРОЗ БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ ПРИ ИХ ОБРАБОТКЕ В ИСПДн МЕТОДИКА ОПРЕДЕЛЕНИЯ АКТУАЛЬНЫХ УГРОЗ БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ ПРИ ИХ ОБРАБОТКЕ В ИСПДн в зависимости от класса информационной системы Порядок проведения классификации информационных систем персональных данных, утвержденный Приказом ФСТЭК России, ФСБ России и Мининформсвязи России от 13 февраля 2008 г. N 55/86/20 Выбранные и реализованные методы и способы защиты информации в информационной системе должны обеспечивать нейтрализацию предполагаемых угроз безопасности персональных данных при их обработке в информационных системах в составе создаваемой оператором (уполномоченным лицом) системы защиты персональных данных 1/31/2018 8: 07 PM 12

Базовая модель угроз безопасности персональных данных 13 при их обработке в информационных системах персональных данных предназначена для решения следующих задач: разработки частных моделей угроз безопасности персональных данных в конкретных информационных системах с учетом их назначения, условий и особенностей функционирования; анализа защищенности информационных систем персональных данных от угроз безопасности в ходе организации и выполнения работ по обеспечению безопасности персональных данных; разработки системы защиты персональных данных, обеспечивающей нейтрализацию предполагаемых угроз с использованием методов и способов защиты персональных данных, предусмотренных для соответствующего класса информационных систем персональных данных; проведения мероприятий, направленных на предотвращение несанкционированного доступа к персональным данным и (или) передачи их лицам, не имеющим права доступа к такой информации; недопущения воздействия на технические средства информационных систем персональных данных, в результате которого может быть нарушено их функционирование; контроля за обеспечением уровня защищенности персональных данных. 1/31/2018 8: 07 PM 13

Типовые недостатки в области защиты персональных 14 данных при их обработке в информационных системах Отсутствие требований по технической защите персональных данных в технических заданиях и проектной документации на введенные в эксплуатацию информационные системы персональных данных Незавершенность классификации информационных систем персональных данных Невыполнение работ по анализу угроз безопасности информационных систем персональных данных Незавершенность подготовки необходимого комплекта организационно-распорядительных документов по обеспечению безопасности персональных данных Непринятие мер по учету машинных носителей информации, содержащих персональные данные Отсутствие необходимых мер защиты в информационных системах персональных данных Отсутствие в должностных регламентах лиц, ответственных за обеспечение безопасности персональных данных, их полномочий по контролю за выполнением требований по защите информации Использование не сертифицированных программных и технических средств защиты информации для защиты персональных данных от несанкционированного доступа Отсутствие документов, регламентирующих порядок передачи персональных данных другим пользователям 14 1/31/2018 8: 07 PM

Информационная система персональных данных в защищённом исполнении 15 Средства предотвращения утечки информации по техническим каналам Интернет Средства защиты речевой информации: Барон, ЛГШ-402(403), SEL SP-21 B 1 Баррикада, Шорох-2, Соната-АВ, Шторм-105… Средства защиты информации, представленной в виде информативных электрических сигналов, физических полей: Гном-3, ГШ-1000 К, ГШ-2500, Октава-РС 1, Гром-ЗИ-4 Б МП-2, МП-3, МП-5, ЛФС-10 -1 Ф… Средства защиты носителей информации на бумажной, магнитоопрической и иной основе: e. Token PRO 64 K и e. Token NG-OTP, Secret Disk 4… Используемые в информационной системе информационные технологии Межсетевые экраны Cisco, Z-2, Watch. Guard Firebox… 1. Защищенные ОС: Red Hat Enterprise Linux, QNX, МСВС 3. 0. . 2. Системы обнаружения вторжений и компьютерных атак: ФОРПОСТ, Proventia Network… 3. Шлюзы безопасности: CSP VPN Gate, CSP RVPN… Шифровальные (криптографические) средства защиты информации Средства предотвращения программно-технических воздействий на технические средства обработки персональных данных 1. Антивирусные средства: Dr. Web, Антивирус Касперского… 2. Программное обеспечение, сертифицированное на отсутствие НДВ. Средства предотвращения несанкционированного доступа к информации: Блокхост-сеть, Аккорд-Рубеж, Аккорд-NT/2000, Secret Net 5. 0, Соболь, Dallas Lock 7. 0, Лабиринт-М, Страж NT 1/31/2018 8: 08 PM 15

Подготовка кадров в области защиты персональных данных при их обработке в информационных системах 16 ФСТЭК России разработаны типовые программы подготовки специалистов в этой области, также согласован ряд учебных программ в рамках повышения квалификации (переподготовки) специалистов ФГБОУ ВПО «Балтийский государственный технический университет «ВОЕНМЕХ» им. Д. Ф. Устинова» Карельский региональный институт управления, экономики и права ФГБОУ ВПО «Петрозаводский государственный университет» ФГБОУ ВПО «Сыктывкарский государственный университет» ФГБОУ ВПО «Петербургский государственный университет путей сообщения» ФГБОУ ВПО «Санкт–Петербургский государственный университет сервиса и экономики» ФГКВОУ ВПО «ВУНЦ ВМФ «Военно–морская академия им. Адмирала флота Советского Союза Н. Г. Кузнецова» ФГБОУ ВПО «Череповецкий государственный университет» 1/31/2018 8: 08 PM НОУ ДПО «Санкт-Петербургская академия безопасности» НОУ ДПО «Северо-Западный центр комплексной защиты информации» НОУ ДПО «Центр предпринимательских рисков» НОУ ДПО «Учебный центр «Спецпроект» ЧОУ ДПО «Межрегиональный центр экологии и техники» НОУ ДПО «Учебно-методический центр регионального некоммерческого фонда социальной поддержки ветеранов УФСБ по г. СПб и ЛО» 16

17 ВЫВОДЫ 1. ФСТЭК России в рамках её компетенции созданы необходимые условия для выполнения операторами требований Федерального закона «О персональных данных» . 2. Контрольные мероприятия, проводимые ФСТЭК России во взаимодействии с ФСБ России и Роскомнадзором, позволили активизировать деятельность операторов по приведению информационных систем персональных данных в соответствие с требованиями Федерального закона «О персональных данных» , а также повысить внимание руководителей всех уровней к этим вопросам. 1/31/2018 8: 08 PM 17

ФГБОУ ВПО «ПГУПС» Доцент кафедры «Информатика и информационная безопасность» Кандидат военных наук, доцент В. А. Кулишкин LOGO

Скачать презентацию Требования нормативных правовых актов Российской Федерации и методических

Требования ФСТЭК по защите ПДн.ppt

Количество слайдов: 18