Практический опыт реализации требований по защите персональных данных МУ Информационно-методический центр Ходячих Андрей Викторович

Нормативная база по защите ПДн Федеральный закон от 27 июля 2006 г. 152-ФЗ «О персональных данных» Положение об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных Постановление правительства РФ от г Порядок проведения классификации информационных систем персональных данных Приказы ФСТЭК России, ФСБ России, Мининформсвязи России от 13 февраля 2008 г. 55/86/20 Нормативные документы ФСТЭК России Нормативные документы ФСБ России Основные мероприятия по организации и техническому обеспечению безопасности ПДн, обрабатываемых в информационных системах ПДн Рекомендации обеспечению безопасности ПДн при их обработке в информационных системах ПДн Методика определения актуальных угроз безопасности ПДн при их обработке в информационных системах ПДн Базовая модель угроз безопасности ПДн при их обработке в информационных системах ПДн Методические рекомендации по обеспечению с помощью криптосредств безопасности персональных данных при их обработке ИСПДн с использованием средств автоматизации Типовые требования по организации и обеспечению функционирования шифровальных (криптографических) средств …в случае их использования для обеспечения безопасности ПДн при их обработке в ИСПДн

Система защиты ИСПДн Интернет Средства предотвращения утечки информации по техническим каналам Средства предотвращения утечки информации по техническим каналам Межсетевые экраны Шлюзы безопасности Межсетевые экраны Шлюзы безопасности Средства защиты информации, представленной в виде информативных электрических сигналов, физических полей Шифровальные (криптографические) средства защиты информации Шифровальные (криптографические) средства защиты информации Средства предотвращения несанкционированного доступа к информации: 1. Защищенные ОС: 2. Специализированные средства ЗИ Средства предотвращения несанкционированного доступа к информации: 1. Защищенные ОС: 2. Специализированные средства ЗИ Средства защиты речевой информации Средства защиты речевой информации Используемые в ИСПДн информационные технологии. Используемые в ИСПДн информационные технологии. Средства предотвращения программно- технических воздействий 1. Антивирусные средства 2. Проверка (сертификация) ПО на отсутствие НДВ. 3. Системы обнаружения вторжений и компьютерных атак Средства предотвращения программно- технических воздействий 1. Антивирусные средства 2. Проверка (сертификация) ПО на отсутствие НДВ. 3. Системы обнаружения вторжений и компьютерных атак Средства защиты носителей информации Средства защиты носителей информации

Преемственность требований Базирование на требованиях апробированных документов: -РД АС; -РД СВТ -РД МЭ -РД НДВ -СТР-К Учет уровня развития средств и способов ЗИ: -контроль защищенности -антивирусная защита -расширенные требования по управлению доступом, регистрации, сигнализации о нарушениях защиты. правила пользования средствам защиты информации постоянный контроль за обеспечением уровня защищенности ПДн обнаружение фактов несанкционированного доступа к ПДн обнаружение фактов несанкционированного доступа к ПДн регистрация запросов на получение ПДн, и фактов предоставления данных по этим запросам средствами информационной системы регистрация запросов на получение ПДн, и фактов предоставления данных по этим запросам средствами информационной системы

Классы типовых информационных систем ПДн : класс 1 (К1) – информационные системы, для которых нарушение заданной характеристики безопасности ПДн, обрабатываемых в них, может привести к значительным негативным последствиям для субъектов ПДн; класс 2 (К2) – информационные системы, для которых нарушение заданной характеристики безопасности ПДн, обрабатываемых в них, может привести к негативным последствиям для субъектов ПДн; класс 3 (К3) – информационные системы, для которых нарушение заданной характеристики безопасности ПДн, обрабатываемых в них, может привести к незначительным негативным последствиям для субъектов ПДн; класс 4 (К4) – информационные системы, для которых нарушение заданной характеристики безопасности ПДн, обрабатываемых в них, не приводит к негативным последствиям для субъектов ПДн Порядок проведения классификации информационных систем персональных данных Основные особенности Объем ПДн Категория ПДн 321 Категория 4 К4К4К4 Категория 3 К3К3К2 Категория 2 К3К2К1 Категория 1 К1К1К1

Модель угроз – основа для уточнения требований

Область автоматизации: бухгалтерия, кадры и др. широко распространенные задачи. Встраиваемые функции: -управление доступом к ПДн -регистрация доступа к ПДн -учет создаваемых записей ПДн -сигнализация нарушения защиты ПДн -контроль целостности встроенных средств защиты ПДн Эффект: -возможность полного контроля ПДн на уровне полей, записей и любых других форм хранения ПДн -сопровождение единым разработчиком -сертификационная поддержка (исходные тексты и документация) -возможность построения комплексного решения -возможность широкого тиражирования -унификация многочисленных ИСПДн Встраивание механизмов защиты ПДн в прикладное ПО

Состав решения: -сертифицированная платформа (ОС, СУБД); -сертифицированное прикладное ПО, со встроенными механизмами защиты; -организационные мероприятия для объекта информатизации; -комплект эксплуатационных и организационно- распорядительных документов Эффект: -выполнение требований по защите ПДн на множестве типовых объектов -обеспечение возможности использования для тиражирования решения партнерской сетью разработчиков прикладного ПО -возможность модернизации ранее созданных ИСПДн -сокращение сроков и стоимости внедрения для значительного числа ИСПДн Разработка комплексного решения по защите ПДн

Спасибо за внимание !