ИНФОРМЗАЩИТА-СОФТ новый уровень безопасности Правовые, организационно - технические мероприятия по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных « Защита персональных данных »
ИНФОРМЗАЩИТА-СОФТ новый уровень безопасности персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных) – конфиденциальная информация; обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных. Основные термины оператор - государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;
ИНФОРМЗАЩИТА-СОФТ новый уровень безопасности Законы РФ ФЗ 152 от ФЗ 152 от Постановления Правительства РФ 1119 от от от от от от Приказы и иные документы 21 от ФСТЭК 21 от ФСТЭК 17 от ФСТЭК 17 от ФСТЭК 3 открытых документа ФСБ 3 открытых документа ФСБ Устав, Положение Устав, Положение Законы и нормативные документы ФЗ 149 от ФЗ 149 от от от
ИНФОРМЗАЩИТА-СОФТ новый уровень безопасности от 1 ноября 2012 г. N 1119 «Требования к защите персональных данных при их обработке в информационных системах персональных данных» Федеральный закон РФ от 27 июля 2006 г. N 152-ФЗ « О персональных данных » от 27 июля 2006 г. N 149-ФЗ « Об информации, информационных технологиях и о защите информации » Постановление Правительства РФ от N 687 « Об утверждении положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации" от N 512 " об утверждении требований к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных" Законы и нормативные документы (2) от 21 марта 2012 г. N 211 «Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных федеральным законом "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами»
ИНФОРМЗАЩИТА-СОФТ новый уровень безопасности ФСТЭК России - ФСТЭК России - Приказ от N 17 «Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах» ФСТЭК России ФСТЭК России - Приказ от N 21 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных» ФСТЭК России - ФСТЭК России - «Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных». Утверждена Заместителем директора ФСТЭК России 15 февраля 2008 г. ФСТЭК России - ФСТЭК России - «Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных». Утверждена Заместителем директора ФСТЭК России 14 февраля 2008 г. Законы и нормативные документы (3)
ИНФОРМЗАЩИТА-СОФТ новый уровень безопасности МЕТОДИЧЕСКИЕ ДОКУМЕНТЫ РЕГУЛЯТОРОВ ФСБ России ФСБ России – Приказ от 10 июля 2014 г. N 378 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности»; ФСБ России ФСБ России – Приказ от 9 февраля 2005 года 66 «Об утверждении положения о разработке, производстве, реализации и эксплуатации шифровальных (криптографических) средств защиты информации (Положение ПКЗ-2005)»; ФСБ России ФСБ России – Методические рекомендации по разработке нормативных правовых актов, определяющих угрозы безопасности персональных данных, актуальные при обработке персональных данных в информационных системах персональных данных, эксплуатируемых при осуществлении соответствующих видов деятельности 149/7/2/ от 31 марта 2015 г «Инструкция об организации и обеспечении безопасности хранения, обработки и передачи по каналам связи с использованием средств криптографической защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну», утвержденная приказом ФАПСИ от 13 июня 2001 года 152;
ИНФОРМЗАЩИТА-СОФТ новый уровень безопасности
ИНФОРМЗАЩИТА-СОФТ новый уровень безопасности Создание и обеспечение функционирования систем защиты информации должно предусматривать: 1) назначение оператором лиц, ответственных за организацию защиты информации, а также за планирование и разработку, внедрение, мониторинг, поддержание и совершенствование мер защиты информации; 2) издание оператором документов, определяющих политику обеспечения защиты информации, в том числе локальных актов по организации защиты информации, а также локальных актов, устанавливающих процедуры, направленные на обеспечение защиты информации в соответствии с настоящим Федеральным законом; 3) планирование и разработку, внедрение, мониторинг, поддержание и совершенствование мер защиты информации в соответствии с требованиями о защите информации, предусмотренными частью 5 настоящей статьи; 4) осуществление внутреннего контроля соответствия защиты информации требованиям о защите информации, предусмотренным частью 5 настоящей статьи, политике оператора по обеспечению защиты информации, локальным актам оператора; 5) ознакомление работников оператора, непосредственно осуществляющих обработку и защиту информации, с требованиями о защите информации, документами, определяющими политику оператора по обеспечению защиты информации, локальными актами оператора и обучение указанных работников. Изменения в Федеральный закон 149-ФЗ
ИНФОРМЗАЩИТА-СОФТ новый уровень безопасности Кто будет проверять? Роскомнадзор ФСБ ФСТЭК Прокуратура Плановая проверка Внеплановая проверка
ИНФОРМЗАЩИТА-СОФТ новый уровень безопасности Ответственность за неисполнение требований законодательств в области защиты ПДн.
ИНФОРМЗАЩИТА-СОФТ новый уровень безопасности Федеральный закон РФ от 27 июля 2006 г. N 152-ФЗ «О персональных данных» Статья Меры, направленные на обеспечение выполнения оператором обязанностей, предусмотренных настоящим Федеральным законом Статья 19. Меры по обеспечению безопасности персональных данных при их обработке 2.1. Операторы, которые осуществляли обработку персональных данных до 1 июля 2011 года, обязаны представить в уполномоченный орган по защите прав субъектов персональных данных сведения, указанные в пунктах 5, 7.1, 10 и 11 части 3 статьи 22 настоящего Федерального закона, не позднее 1 января 2013 года. Статья 25. Заключительные положения Обязанности оператора Статья 22. Уведомление об обработке персональных данных 1. Оператор до начала обработки персональных данных обязан уведомить уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществлять обработку персональных данных, за исключением случаев, предусмотренных частью 2 настоящей статьи.
ИНФОРМЗАЩИТА-СОФТ новый уровень безопасности КАК ОРГАНИЗОВАТЬ МЕРОПРИЯТИЯ ПО ЗАЩИТЕ ИНФОРМАЦИИ? КАКИЕ НЕОБХОДИМО ПРИНЯТЬ МЕРЫ? С ЧЕГО НАЧАТЬ?
ИНФОРМЗАЩИТА-СОФТ новый уровень безопасности Общие требования к обеспечению безопасности персональных данных нейтрализация актуальных угроз: 1)Неправомерность доступа, копирование и распространение информации 2)Неправомерность уничтожения и модификации 3)Неправомерность блокирования информации применение СЗИ, прошедших в установленном порядке процедуру оценки соответствия Требования к исполнителям работ по защите Требования к проведению оценки эффективности мер Состав и содержание мер по обеспечению безопасности персональных данных Требования по применению СВТ и СЗИ определенных классов в ИСПДн разных уровней защищенности Приказ ФСТЭК 17 и 21
ИНФОРМЗАЩИТА-СОФТ новый уровень безопасности Тип и меры защиты
ИНФОРМЗАЩИТА-СОФТ новый уровень безопасности Изменения в Федеральный закон 149-ФЗ
ИНФОРМЗАЩИТА-СОФТ новый уровень безопасности
ИНФОРМЗАЩИТА-СОФТ новый уровень безопасности УСТАНОВЛЕНИЕ НЕОБХОДИМОГО УРОВНЯ ПРАВООТНОШЕНИЙ МЕЖДУ ОПЕРАТОРОМ И СУБЪЕКТОМ ПЕРСОНАЛЬНЫХ ДАННЫХ Получить согласие субъектов на обработку их ПДн
ИНФОРМЗАЩИТА-СОФТ новый уровень безопасности ВИДЫ КОНФИДЕНЦИАЛЬНОЙ ИНФОРМАЦИИ
ИНФОРМЗАЩИТА-СОФТ новый уровень безопасности КОММЕРЧЕСКАЯ ТАЙНА Информация, составляющая коммерческую тайну, - сведения любого характера (производственные, технические, экономические, организационные и другие), в том числе о результатах интеллектуальной деятельности в научно-технической сфере, а также сведения о способах осуществления профессиональной деятельности, которые имеют действительную или потенциальную коммерческую ценность в силу неизвестности их третьим лицам, к которым у третьих лиц нет свободного доступа на законном основании и в отношении которых обладателем таких сведений введен режим коммерческой тайны. Федеральный закон от 29 июля 2004 г. N 98-ФЗ "О коммерческой тайне"
ИНФОРМЗАЩИТА-СОФТ новый уровень безопасности СЕКРЕТ ПРОИЗВОДСТВА (НОУ-ХАУ) Секретом производства (ноу-хау) признаются сведения любого характера (производственные, технические, экономические, организационные и другие), в том числе о результатах интеллектуальной деятельности в научно- технической сфере, а также сведения о способах осуществления профессиональной деятельности, которые имеют действительную или потенциальную коммерческую ценность в силу неизвестности их третьим лицам, к которым у третьих лиц нет свободного доступа на законном основании и в отношении которых обладателем таких сведений введен режим коммерческой тайны. Федеральный закон от 29 июля 2004 г. N 98-ФЗ "О коммерческой тайне"
ИНФОРМЗАЩИТА-СОФТ новый уровень безопасности ОПРЕДЕЛЕНИЕ ОБЛАСТИ ВНЕДРЕНИЯ Определить объекты в границах которых будут осуществляться мероприятия по реализации требований закона к порядку обработки персональных данных
ИНФОРМЗАЩИТА-СОФТ новый уровень безопасности Классификация ИСПДн ИСПДн, подлежащие защите, должны быть однозначно идентифицированы как совокупности конкретных технических средств, размещённых внутри конкретных контролируемых зон и предназначенных для обработки конкретных категорий ПДн с конкретными целями. Должна быть проведена их классификация. На каждую ИСПДн должен быть оформлен отдельный Акт классификации
ИНФОРМЗАЩИТА-СОФТ новый уровень безопасности ПРОЕКТИРОВАНИЕ И СОЗДАНИЕ СИСТЕМЫ ЗАЩИТЫ ИСПДн В каждой информационной системе, предназначенной для обработки ПДн, должна быть спроектирована и создана система защиты персональных данных, соответствующая требованиям руководящих и нормативно-методических документов ФСТЭК и ФСБ по защите информации. Порядок проектирования определяется рядом государственных стандартов и руководящих документов ФСТЭК России
ИНФОРМЗАЩИТА-СОФТ новый уровень безопасности РАЗРАБОТКА МОДЕЛИ УГРОЗ И ТРЕБОВАНИЙ К СИСТЕМЕ ЗАЩИТЫ Модель угроз разрабатывается в соответствии с методическими документами ФСТЭК и ФСБ Требования по обеспечению безопасности ПДн разрабатываются на основе модели угроз с учётом установленного класса ИСПДн и включаются в техническое (частное техническое) задание на разработку СЗПд
ИНФОРМЗАЩИТА-СОФТ новый уровень безопасности ИСХОДНЫМИ ДАННЫМИ ПРИ СОЗДАНИИ СЗПДН ЯВЛЯЮТСЯ 1. Модель угроз безопасности персональных данных (частная модель угроз и модель нарушителя); 2. Акт определения уровня защищенности ПДн; 3. Частное техническое задание на построение системы защиты ПДн; 4. Частное технического проекта системы защиты ПДн. 5. Проектная и эксплуатационная документация: 1)Организационно-распорядительные документы. 2)Перечень средств защиты информации (программных и (или) аппаратно-программных).
ИНФОРМЗАЩИТА-СОФТ новый уровень безопасности Определить политику в отношении обработки ПДн (Федеральный закон от ФЗ «О персональных данных» ст. 18.1, ч.1, п.2) ГОСТ Р ИСО/МЭК «Информационная технология. Практические правила управления информационной безопасностью»; ГОСТ Р ИСО/МЭК «Информационная технология. Методы и средства обеспечения безопасности. Часть 1. Концепция и модели менеджмента безопасности информационных и телекоммуникационных технологий»; ГОСТ Р ИСО/МЭК «Информационная технология. Методы и средства обеспечения безопасности. Часть 3. Методы менеджмента безопасности информационных технологий» Данная политика должна быть опубликована или иным способом сделана общедоступной Локальные акты: Политику оператора в отношении обработки и обеспечения безопасности ПДн; План мероприятий обеспечению безопасности ПДн (по реализации политики) ПОЛИТИКА ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
ИНФОРМЗАЩИТА-СОФТ новый уровень безопасности ВЫПОЛНЕНИЕ ПРОЧИХ ТРЕБОВАНИЙ Федеральным законом 152 и подзаконными актами установлен ряд других норм и требований, которые могут иметь отношение не ко всем операторам и которые должны исполняться теми из них, для кого это является производственной необходимостью. Это и обработка биометрических персональных данных, и вопросы трансграничной передачи персональных данных, и учёт особенностей обработки персональных данных без использования средств автоматизации. При наличии таких оснований требуется выработка специальных мер, разработка процедур и издание внутренних организационно- распорядительных документов, регулирующих данные процессы
ИНФОРМЗАЩИТА-СОФТ новый уровень безопасности ОБЕСПЕЧЕНИЕ КОНТРОЛЯ НАД ОБЕСПЕЧЕНИЕМ УРОВНЯ ЗАЩИЩЁННОСТИ ПДн Проводится периодический контроль эффективности применяемых мер защиты, в том числе с применением специальных сертифицированных средств контроля
ИНФОРМЗАЩИТА-СОФТ новый уровень безопасности
ИНФОРМЗАЩИТА-СОФТ новый уровень безопасности Что делать? Уведомить уполномоченный орган Разработать и внедрить комплект документов Внедрить технические средства защиты Уведомить уполномоченный орган Поддерживать соответствие требованиям безопасности
ИНФОРМЗАЩИТА-СОФТ новый уровень безопасности
ИНФОРМЗАЩИТА-СОФТ новый уровень безопасности Вопросы ? Шаронов Геннадий Петрович