2009 г. Об обеспечении безопасности персональных данных с использованием шифровальных (криптографических) средств
2 Оператор – государственный орган, муниципальный орган, юридическое или физическое лицо, организующие и (или) осуществляющее обработку персональных данных, а также определяющие цели и содержание обработки персональных данных. Оператор обязан принимать необходимые организационные и технические меры, в том числе использовать шифровальные (криптографические) средства для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, копирования, распространения и т.д.
3 Нормативные документы разработанные ФСБ России,ФСТЭК России и Минкомсвязи России «Положение об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных», утвержденное Постановлением Правительства Российской Федерации от 17 ноября 2007 года 781 «Требования к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных», утвержденные постановлением Правительства Российской Федерации от 6 июля 2008 года 512 В 2008 г. ФСТЭК России, ФСБ России и Минкомсвязи России разработан и подписан совместный приказ «Об утверждении Порядка проведения классификации информационных систем персональных данных» от 13 февраля 2008 г. 55/86/20, который зарегистрирован в Минюсте России за от
4 Основные задачи ФСБ России -установление методов и способов защиты информации в информационных системах персональных данных (ИСПДн) в пределах своих полномочий; -определение в пределах своих полномочий возможных каналов утечки информации при обработке ПД в ИСПДн; -определение конкретных сроков проведения контрольных тематических исследований шифровальных (криптографических) средств, предназначенных для защиты информации, не содержащей сведений, составляющих государственную тайну (далее – криптосредство) и используемых для обеспечения безопасности ПД; -проведение экспертизы тематических исследований криптосредств, применяемых для обеспечения безопасности персональных данных, согласование соответствующих правил пользования и изменений условий применения средств защиты, предусмотренных указанными правилами;
5 -определение перечня индексов, условных наименований и регистрационных номеров средств шифрования; -утверждение в пределах своей компетенции нормативных правовых актов и методических документов, необходимых для выполнения требований, предусмотренных Положением, утвержденным постановлением Правительства Российской Федерации от ; -предоставление в установленном законодательством Российской Федерации порядке в уполномоченный орган по защите прав субъектов персональных данных информации о нарушении безопасности персональных данных для принятия мер по приостановлению или прекращению их; -контроль и надзор в пределах своих полномочий за выполнением требований Правительства Российской Федерации к обеспечению безопасности персональных данных.
6 Типовые информационные системы - информационные системы, в которых требуется обеспечение только конфиденциальности персональных данных. Специальные информационные системы - информационные системы, в которых вне зависимости от необходимости обеспечения конфиденциальности персональных данных требуется обеспечить хотя бы одну из характеристик безопасности персональных данных, отличную от конфиденциальности (защищенность от уничтожения, изменения, блокирования, а также иных несанкционированных действий).
7 Этапы проведения работ На первом этапе оператором осуществляется классификация информационной системы. На втором этапе, исходя из класса информационной системы персональных данных, осуществляются разработка и реализация мероприятий по техническому обеспечению безопасности персональных данных, включая: -мероприятия по размещению, специальному оборудованию, охране и организации режима допуска в помещения, где ведется работа с персональными данными; -мероприятия по закрытию технических каналов утечки персональных данных при их обработке в информационных системах; -мероприятия по защите от несанкционированных действий и определению порядка выбора средств защиты персональных данных при их обработке в информационных системах.
8 Наиболее вероятные случаи использования криптосредств -в системах, являющихся комплексами автоматизированных рабочих мест и (или) локальных информационных систем, объединенных в единую информационную систему средствами связи. Необходимость криптографической защиты информации возникает при передаче информации в среду, в которой она может оказаться доступной нарушителю, например - незащищенные от несанкционированного доступа средства хранения информации и каналы связи; -в системах, являющихся многопользовательскими, в которых в соответствии с моделью угроз введено разграничение прав доступа пользователей и возможно наличие инсайдера, а безопасность хранения и обработки не может быть гарантированно обеспечена другими средствами; -в государственных информационных системах, в которых в соответствии с Федеральным законом 149-ФЗ от 27 июля 2006г. «Об информации, информационных технологиях и о защите информации» требования о криптографической защите информации установлены Федеральной службой безопасности Российской Федерации.
9 Документы, разработанные ФСБ России во исполнение Федерального закона 152-ФЗ «О персональных данных» и Постановления Правительства Российской Федерации от 17 ноября 2007 года 781 «Методические рекомендации по обеспечению с помощью криптосредств безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств автоматизации» «Типовые требования по организации и обеспечению функционирования шифровальных (криптографических) средств, предназначенных для защиты информации, не содержащей сведений, составляющих государственную тайну, в случае их использования для обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных»
1010 Основные принципы разработки нормативных документов ФСБ России -открытость; -преемственность; -сведение классификации информационных систем персональных данных к существующей классификации по уровням криптографической защиты; -достаточность документов для самостоятельного определения требуемого уровня криптографической защиты операторами с различным уровнем подготовки в области защиты информации.
1 «Безопасность персональных данных при их обработке в информационных системах обеспечивается с помощью системы защиты персональных данных, включающей организационные меры и средства защиты информации (в том числе шифровальные (криптографические) средства, средства предотвращения несанкционированного доступа, утечки информации по техническим каналам, программно-технических воздействий на технические средства обработки персональных данных), а также используемые в информационной системе информационные технологии. Технические и программные средства должны удовлетворять устанавливаемым в соответствии с законодательством Российской Федерации требованиям, обеспечивающим защиту информации».
1212 Методические рекомендации Методические рекомендации предназначены для операторов и разработчиков информационных систем персональных данных и позволяют: -сформировать модели угроз и нарушителей; -определить на основе построенной модели нарушителя требуемый уровень криптографической защиты персональных данных и, как следствие, определить требуемый класс защиты применяемого криптосредства; -определить требуемый уровень защиты от несанкционированного доступа; -определить требуемый уровень защиты от утечки информации по побочным каналам.
13 13 Типовые требования Типовые требования предназначены для использования операторами информационных систем и определяют: -организационно-технические меры при развертывании и эксплуатации информационных систем; -порядок обращения с криптосредствами и криптоключами к ним; -мероприятия при компрометации криптоключей; -порядок размещения, специального оборудования, охраны и организации режима в помещениях, где установлены криптосредства или хранятся ключевые документы к ним.
1414 Нормативные документы ФСБ России могут быть получены по запросу: -в 8 Центре ФСБ России; -в территориальных органах ФСБ России. Рассылка этих материалов осуществляется государственным и коммерческим структурам, а также операторам информационных систем персональных данных и лицензиатам ФСБ России в области криптографии.
Предлагаемые виды проверок В зависимости от ведомственного состава участвующих в их проведении: Комплексные - которые проводятся одновременно по всем направлениям контроля и надзора, с проверкой соблюдения оператором обязательных требований и норм, установленных нормативными правовыми актами в области обработки персональных данных и требований к обеспечению их безопасности. Целевые - которые проводятся с целью оценки соблюдения требований к обеспечению безопасности персональных данных, установленных постановлениями Правительства РФ, при этом проверки могут проводиться: -совместно со ФСТЭК России; -силами специалистов 8 Центра ФСБ России или сотрудников территориальных органов безопасности в части использования криптосредств. 15
Проверки проводятся: -в отношении операторов, подавших уведомление об обработке персональных данных и (или) включенных в Реестр операторов; -в отношении операторов, осуществляющих обработку персональных данных без уведомления Россвязькомнадзора на основании ч.2 ст.22 Федерального закона; -в отношении операторов на основании полученных жалоб и обращений граждан или юридических лиц по вопросам, связанным с обработкой персональных данных или обеспечением их безопасности. 16
Мероприятия по государственному контролю и надзору за использованием средств криптографии, применяемых для защиты персональных данных, будут проводиться исходя из следующих основных принципов: -оценка выполнения требований к обеспечению безопасности осуществляется в соответствии с требованиями Федерального закона без ознакомления с персональными данными; -работы проводятся в строгом соответствии с требованиями Федерального закона «О защите прав юридических лиц и индивидуальных предпринимателей при проведении государственного контроля (надзора)». 17
Спасибо за внимание! Москва, 2009