НОВОЕ В НОРМАТИВНОЙ БАЗЕ В ОБЛАСТИ ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ НОВОЕ В НОРМАТИВНОЙ БАЗЕ В ОБЛАСТИ ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ (требования и комментарии) ОАО «ЭЛВИС-ПЛЮС» 2008 год © ОАО «ЭЛВИС-ПЛЮС», 2008 г.,

Пролог В период годов в соответствии с возложенными полномочиями, ФСТЭК России и ФСБ России разработаны и введены в действие ряд нормативных и методических документов в области защиты информации: нормативные и методические документы, определяющие требования по защите персональных данных (5 документов) нормативный документ, определяющий требования по применению СКЗИ для защиты ИС ПДн В настоящее время начата рассылка документов органам государственной власти и лицензиатам ФСТЭК России для исполнения

Федеральные законы Постановления Правительства Российской Федерации Документы уполномоченных федеральных органов Нормативная база по защите ПД Состав нормативных и методических документов

Понятийный аппарат Федеральный Закон 152-ФЗ «О персональных данных» Персональные данные (ПД) субъекту ПД Персональные данные (ПД) - любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту ПД), в том числе: фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация Оператор персональных данных - Оператор персональных данных - государственный орган, муниципальный орган, юридическое или физическое лицо, организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели и содержание такой обработки

Оператор обязан принимать меры Оператор обязан принимать организационные и технические меры, для защиты ПД от НСД, уничтожения, изменения, блокирования, копирования, распространения и иных неправомерных действий (ст. 19, ч. 1) Правительство РФ устанавливает требования Правительство РФ устанавливает требования к обеспечению безопасности ПД при их обработке (ст. 19, ч. 2) Требования должны быть выполнены до г. (ст. 25) Федеральные органы осуществляют контроль и надзор Федеральные органы в области обеспечения безопасности и ПД ИТР и ТЗИ (ФСБ России и ФСТЭК России) осуществляют контроль и надзор Лица, несут ответственность Лица, виновные в нарушении требований несут гражданскую, уголовную, административную, дисциплинарную и иную предусмотренную законодательством РФ ответственность Обеспечение безопасности ПД Федеральный Закон 152-ФЗ «О персональных данных»

Уведомления об обработке персональных данных Федеральный Закон 152-ФЗ «О персональных данных» Оператор Оператор до начала обработки ПД обязан уведомить уполномоченный орган по защите прав субъектов ПД о своём намерении осуществлять обработку ПД Уполномоченный орган имеет право приостановление или прекращению обработки Уполномоченный орган по защите прав субъектов ПД ведёт реестр операторов ПД, имеет право на контроль деятельности операторов и приостановление или прекращению обработки ПД, осуществляемой с нарушением требований Форма уведомления о намерении обрабатывать ПД установлена Россвязькомнадзор

ФСТЭК РоссииФСБ России возлагает на ФСТЭК России и ФСБ России разработку методов и способов защиты ПД в информационных системах оператораПД возлагает на оператора ПД задачу обеспечения безопасности ПД и обязанность классификации ИС работы по обеспечению безопасности устанавливает, что работы по обеспечению безопасности ПД являются неотъемлемой частью работ по созданию ИС ПД средства защиты оценку соответствия устанавливает, что средства защиты ПД должны пройти оценку соответствия (во ФСТЭК России и ФСБ России) достаточность принятых мер оценивается определяет, что достаточность принятых мер по обеспечению безопасности ПД оценивается при проведении государственного контроля и надзора Положение об обеспечении безопасности ПД при их обработке в ИС ПД Постановление Правительства РФ от г. 781 Безопасность ПД направлена на исключение несанкционированного доступа к ним в результате которого возможно их уничтожение, изменение, блокирование, копирование и распространение

Мероприятия по обеспечению безопасности ПД включают: определение угроз безопасности ПД и формирование модели угроз; разработку на основе модели угроз системы защиты ПД; проверку готовности СЗИ к использованию; обучение персонала правилам работы с СЗИ; учет применяемых СЗИ и носителей ПД; учет лиц, допущенных к работе с ПД; контроль за соблюдением условий использования СЗИ; реагирование на нарушение режима защиты ПД; описание системы защиты персональных данных. Положение об обеспечении безопасности ПД при их обработке в ИС ПД Постановление Правительства РФ от г. 781

ФСТЭК России – определение требований и порядка защиты ПД не криптографическими средствами ФСБ России – определение требований и порядка защиты ПД криптографическими средствами Россвязькомнадзор – уполномоченный орган по защите прав субъектов ПД, осуществляющий государственный контроль и надзор за соответствием обработки ПД требованиям законодательства Уполномоченные федеральные органы власти Компетенция в решении вопросов защиты ПД

«Порядок проведения классификации информационных систем ПД» Приказ ФСТЭК России, ФСБ России и Мининформсвязи России от г. 55/86/20 «Базовая модель угроз безопасности ПД при их обработке в ИС ПД » «Методика определения угроз безопасности ПД при их обработке в ИС ПД» «Основные мероприятия по организации и техническому обеспечению безопасности ПД, обрабатываемых в ИС ПД» «Рекомендации по обеспечению безопасности ПД при их обработке в ИС ПД» Утверждены заместителем директора ФСТЭК России февраля 2008 г. Документы ФСТЭК России Документы по защите ПД уполномоченных федеральных органов

Документы предназначены для использования при обеспечении безопасности ПД в ИС: государственных и муниципальных органов власти; юридических лиц (независимо от формы их собственности); физических лиц (кроме случаев использования ИС только для личных и семейных нужд). Документы ФСТЭК России Назначение и область применения

Порядок проведения классификации ИС персональных данных Категории персональных данных Установлены следующие категории ПД: категория 1 - ПД, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных и философских убеждений, состояния здоровья, интимной жизни категория 2 - ПД, позволяющие идентифицировать субъекта ПД и получить о нем дополнительную информацию, за исключением ПД, относящихся к категории 1 категория 3 - персональные данные, позволяющие идентифицировать субъекта ПД категория 4 - обезличенные и (или) общедоступные ПД. Пункт 6 Приказа 55/86/20

Порядок проведения классификации ИС персональных данных Типы ИС по составу характеристик безопасности ИС, обрабатывающие ПД, делятся на типовые и специальные : обеспечениетолько конфиденциальности Типовые ИС - информационные системы, в которых требуется обеспечение только конфиденциальности ПД; хотя бы одну из характеристик отличную от конфиденциальности Специальные ИС - системы, в которых вне зависимости от необходимости обеспечения конфиденциальности ПД требуется обеспечить хотя бы одну из характеристик безопасности ПД, отличную от конфиденциальности (защищенность от уничтожения, изменения, блокирования, а также иных несанкционированных действий) Пункт 8 Приказа 55/86/20

Порядок проведения классификации ИС персональных данных Типы ИС по объему ПД ИС, обрабатывающие ПД, делятся по объему ПД на: ИС, обрабатывающие ПД мене чем о 1000 субъектах ПД; ИС, обрабатывающие ПД о 1000 – субъектах ПД; ИС, обрабатывающие ПД более чем о субъектах ПД. Пункт 8 Приказа 55/86/20

Порядок проведения классификации ИС персональных данных Классы типовых ИС ПД В зависимости от последствий нарушений заданной характеристики безопасности ПД, типовой ИС присваивается один из классов: значительным негативным последствиям класс 1 (К1) - ИС, для которых нарушения могу привести к значительным негативным последствиям для субъектов ПД; негативным последствиям класс 2 (К2) - ИС, для которых нарушения могут привести к негативным последствиям для субъектов ПД; незначительным негативным последствиям класс 3 (К3) - ИС, для которых нарушения могут привести к незначительным негативным последствиям для субъектов ПД; не приводят к негативным последствиям класс 4 (К4) - ИС, для которых нарушения не приводят к негативным последствиям для субъектов ПД. Пункт 14 Приказа 55/86/20

Порядок проведения классификации ИС персональных данных Порядок выбора класса ИС ПД типовой ИС Класс типовой ИС выбирается по таблице: Пункт 15 Приказа 55/86/20 Количество субъектов Категории ПД > – < категория 4К4 категория 3К3 К2 категория 2К3К2К1 категория 1К1 специальной ИСмодели угроз Класс специальной ИС определяется на основе модели угроз Пункт 16 Приказа 55/86/20

Предназначена для использования при разработке моделей угроз для конкретных ИС ПД Содержит общее системное изложение вероятных угроз безопасности ПД при их обработке в ИС Базовая модель угроз безопасности ПД при их обработке в ИС Назначение и содержание

Определяет порядок моделирования угроз безопасности ПД при их обработке в ИС и выявления актуальных угроз (на основе экспертного анализа) Результаты моделирования служат для формирования обоснованных требований по защите ПД при их обработке в ИС Методика определения угроз безопасности ПД при их обработке в ИС Назначение и содержание

Методика определения угроз безопасности ПД при их обработке в ИС Общие положения Угрозы безопасности ПД могут быть реализованы за счёт: несанкционированного доступа к базам данных; утечки ПД по техническим каналам. Исходные данные для определения актуальных угроз: перечень источников угроз (формируется на основе опроса); перечень уязвимых звеньев ИС (формируется на основе опроса и сетевого сканирования); перечень технических каналов утечки (формируется на основе обследования ИС).

Методика определения угроз безопасности ПД при их обработке в ИС Этапы экспертной оценки актуальности угроз Порядок определения актуальных угроз безопасности ПД в ИС ПД предусматривает следующие этапы: оценка (на основе опроса и анализа) уровня исходной защищённости ИС ПД (высокий, средний, низкий); экспертная оценка частоты (вероятности) реализации угрозы (маловероятная, низкая, средняя, высокая); определение актуальных угроз (путём исключения неактуальных угроз по определённому алгоритму).

Документ устанавливает, что для обеспечения безопасности ПД: создаваться система защиты Должна создаваться система защиты ПД пройтипроцедуру оценки соответствия Средства защиты должны пройти процедуру оценки соответствия (сертификацию) получитьлицензию Операторы ПД (для ИС 1 и 2 класса) должны получить лицензию на деятельность по технической защите конфиденциальной информации (Постановление Правительства РФ 2006 г. 504). Основные мероприятия по организации и техническому обеспечению безопасности ПД, обрабатываемых в ИС Основные положения

Основные мероприятия по организации и техническому обеспечению безопасности ПД, обрабатываемых в ИС Основные направления защиты ПД Конкретный состав мероприятий по защите ПД определяется в зависимости от класса ИС и результатов моделирования угроз. ИС ПД, находящихся в эксплуатации до введения в действие Закона должны быть доработаны Мероприятия определяются на основе СТР-К и РД ФСТЭК России и реализуются в рамках подсистем СОБИ: управления доступом регистрации и учёта обеспечения целостности криптографической защиты антивирусной защиты обнаружения вторжений защиты от утечки за счёт ПЭМИН (для ИС 1 и 2 классов)

Устанавливается следующий порядок оценки ИС требованиям безопасности: сертификацияаттестация ИС 1 и 2 класса – обязательная сертификация (аттестация) декларирование ИС 3 класса – декларирование соответствия по решению ИС 4 класса – оценка проводится по решению оператора ПД Основные мероприятия по организации и техническому обеспечению безопасности ПД, обрабатываемых в ИС Порядок оценки соответствия ИС требованиям безопасности

Документ содержит рекомендации по вопросам обеспечения безопасности ПД, оценки актуальности угроз безопасности ПД, применения способов, мер и средств защиты ПД Рекомендации по обеспечению безопасности ПД при их обработке в ИС Назначение и содержание

Спасибо за внимание ! , МОСКВА, Зеленоград, Центральный проспект, 11 тел , факс