ДОКУМЕНТЫ ПО ЗАЩИТЕ ПЕРСОНАЛЬНЫХ ДАННЫХ НАЧАЛЬНИК ОТДЕЛА ЗАЩИТЫ ИНФОРМАЦИИ ОТ ЕЁ УТЕЧКИ ПО ТЕХНИЧЕСКИМ КАНАЛАМ ТТИ ЮФУ КОРОБИЛОВ ЮРИЙ БОРИСОВИЧ
8 (8634)
ОСНОВНЫЕ РЕГЛАМЕНТИРУЮЩИЕ ДОКУМЕНТЫ Федеральный закон от N 149-ФЗФедеральный закон от N 149-ФЗ «Об информации, информационных технологиях и о защите информации» Постановление Правительства 781Постановление Правительства 781 от 17 ноября 2007 года «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных» Постановление Правительства РФ 687Постановление Правительства РФ 687 от г. «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации» Постановление Правительства РФ 512Постановление Правительства РФ 512 от г. «Об утверждении требований к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных» Приказ ФСТЭК, ФСБ, Мининформсвязи 55/86/20Приказ ФСТЭК, ФСБ, Мининформсвязи 55/86/20 от г. «Об утверждении порядка проведения классификации информационных систем персональных данных» Приказ Федеральной службы по надзору в сфере массовых коммуникаций, связи и охраны культурного наследия 154Приказ Федеральной службы по надзору в сфере массовых коммуникаций, связи и охраны культурного наследия 154 от 28 марта 2008 г. «Об утверждении Положения о ведении реестра операторов, осуществляющих обработку персональных данных» Приказ Федеральной службы по надзору в сфере связи и массовых коммуникаций (РОССВЯЗЬКОМНАДЗОР) 8Приказ Федеральной службы по надзору в сфере связи и массовых коммуникаций (РОССВЯЗЬКОМНАДЗОР) 8 от 17 июля 2008 г. «Об утверждении образца формы уведомления об обработке персональных данных»
МЕТОДИЧЕСКИЕ ДОКУМЕНТЫ РЕГУЛЯТОРОВ ФСТЭК России ФСТЭК России – «Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных». Утверждена Заместителем директора ФСТЭК России 15 февраля 2008 г. ФСТЭК России ФСТЭК России – «Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных». Утверждена Заместителем директора ФСТЭК России 14 февраля 2008 г. ФСБ РФ ФСБ РФ – «Методические рекомендации по обеспечению с помощью криптосредств безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств автоматизации». Утверждены руководством 8 Центра ФСБ России 21 февраля 2008 г. 149/5-144Методические рекомендации ФСБ РФ ФСБ РФ – «Типовые требования по организации и обеспечению функционирования шифровальных (криптографических) средств, предназначенных для защиты информации, не содержащей сведений, составляющих государственную тайну в случае их использования для обеспечения безопасности персональных данных при обработке в информационных системах персональных данных». Утверждены руководством 8 Центра ФСБ России 21 февраля 2008 г. 149/6/6-622.Типовые требования
ОСНОВНЫЕТИПОВЫЕЗАДАЧИ
ОПРЕДЕЛЕНИЕ ОБЛАСТИ ВНЕДРЕНИЯ Определить объекты в границах которых будут осуществляться мероприятия по реализации требований закона к порядку обработки персональных данных
НАЗНАЧЕНИЕ ОТВЕТСТВЕННЫХ ЛИЦ определить структурное подразделение или должностное лицо, ответственное за обеспечение безопасности персональных данных
РАЗРАБОТКА И УТВЕРЖДЕНИЕ ПЕРЕЧНЯ ПЕРСОНАЛЬНЫХ ДАННЫХ Необходимо определить состав обрабатываемых ПДн, цели и условия обработки, сроки хранения ПДн различных категорий.
УСТАНОВЛЕНИЕ НЕОБХОДИМОГО УРОВНЯ ПРАВООТНОШЕНИЙ МЕЖДУ ОПЕРАТОРОМ И СУБЪЕКТОМ ПЕРСОНАЛЬНЫХ ДАННЫХ Получить согласие субъектов на обработку их ПДн
КЛАССИФИКАЦИЯ ИСПДН КЛАССИФИКАЦИЯ ИСПДН ИСПДн, подлежащие защите, должны быть однозначно идентифицированы как совокупности конкретных технических средств, размещённых внутри конкретных контролируемых зон и предназначенных для обработки конкретных категорий ПДн с конкретными целями. Должна быть проведена их классификация. На каждую ИСПДн должен быть оформлен отдельный Акт классификации
РАЗРАБОТКА МОДЕЛИ УГРОЗ И ТРЕБОВАНИЙ К СИСТЕМЕ ЗАЩИТЫ Модель угроз разрабатывается в соответствии с методическими документами ФСТЭК и ФСБ Требования по обеспечению безопасности ПДн разрабатываются на основе модели угроз с учётом установленного класса ИСПДн и включаются в техническое (частное техническое) задание на разработку СЗПд
ПРОЕКТИРОВАНИЕ И СОЗДАНИЕ ИСПДН В каждой информационной системе, предназначенной для обработки ПДн, должна быть спроектирована и создана система защиты персональных данных, соответствующая требованиям руководящих и нормативно-методических документов ФСТЭК и ФСБ по защите информации. Порядок проектирования определяется рядом государственных стандартов и руководящих документов ФСТЭК России
ОБЕСПЕЧЕНИЕ КОНТРОЛЯ НАД ОБЕСПЕЧЕНИЕМ УРОВНЯ ЗАЩИЩЁННОСТИ ПДН. Проводится периодический контроль эффективности применяемых мер защиты, в том числе с применением специальных сертифицированных средств контроля
НАПРАВЛЕНИЕ УВЕДОМЛЕНИЯ О НАЧАЛЕ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ Выполнив все установленные к СЗПДн в своей информационной системе, оператор получает право начать обработку персональных данных. До начала обработки он обязан уведомить об этом уполномоченный орган по защите прав субъектов персональных данных (Роскомнадзор). Порядок уведомления, содержание представляемых материалов, а также случаи, когда разрешается осуществлять обработку ПДн без уведомления уполномоченного органа, определены в ФЗ-152
ПОЛУЧЕНИЕ ЛИЦЕНЗИЙ ФСТЭК РОССИИ И ФСБ РОССИИ В ряде предусмотренных федеральным законодательством случаев организация, осуществляющая деятельность, связанную с использованием сертифицированных средств криптографической защиты информации, либо деятельность в области технической защиты конфиденциальной информации должна получить соответствующие лицензии
ВЫПОЛНЕНИЕ ПРОЧИХ ТРЕБОВАНИЙ ЗАКОНА Федеральным законом 152 и подзаконными актами установлен ряд других норм и требований, которые могут иметь отношение не ко всем операторам и которые должны исполняться теми из них, для кого это является производственной необходимостью. Это и обработка биометрических персональных данных, и вопросы трансграничной передачи персональных данных, и учёт особенностей обработки персональных данных без использования средств автоматизации. При наличии таких оснований требуется выработка специальных мер, разработка процедур и издание внутренних организационно-распорядительных документов, регулирующих данные процессы
ПЕРЕЧЕНЬ ОСНОВНЫХ ДОКУМЕНТЫ
1. Политика (Концепция) информационной безопасности организации 2. Уведомление в Роскомнадзор об обработке ПДн 3. Приказ о введении режима обработки и защиты персональных данных в организации.Приказ о введении режима обработки и защиты персональных данных в организации. 4. Приказ об утверждении «Положения об обработке ПДн».Приказ об утверждении «Положения об обработке ПДн» Приложение: «Положение об обработке ПДн». 5. Приказ о создании комиссии для проведения классификации ИСПДн.Приказ о создании комиссии для проведения классификации ИСПДн. Приложение: Акт классификации ИСПДн.Акт классификации ИСПДн. 6. Приказ «Об утверждении частной модели угроз безопасности ПДн в ИСПДн»(ДСП).»(ДСП). Приложение: Частная модель угроз безопасности ПДн (ДСП).Частная модель угроз безопасности ПДн (ДСП). 7. Описание технологического процесса обработки информации.Описание технологического процесса обработки информации. 8. Аттестация или декларирование соответствия.Аттестация или декларирование соответствия. Приложение: Протокол оценки соответствияПротокол оценки соответствия 9.Приказ о назначении ответственного сотрудника (подразделения) за осуществление мероприятий по защите информации.Приказ о назначении ответственного сотрудника (подразделения) за осуществление мероприятий по защите информации. 10. Приказ о допуске сотрудников к обработке ПДн.Приказ о допуске сотрудников к обработке ПДн. Приложение: Список сотрудников, допущенных к работе с ПДн. 11. Приказ об определении перечня обрабатываемых ПДн Приложение: Перечень обрабатываемых данных.Перечень обрабатываемых данных.
16. Приказ об определении помещений, где обрабатываются ПДн.помещений, где обрабатываются ПДн. Приложение : Технические паспорта на защищаемые помещения.Технические паспорта на защищаемые помещения. 17. Приказ об установлении границ контролируемой зоны. Приложение: Схема контролируемой зоны.Схема контролируемой зоны Обязательство о неразглашении информации. Приложение : СоглашениеСоглашение 18. Согласие сотрудников на обработку своих ПДн. Приложение: Форма согласия.Форма согласия. 19. Приказ о вводе инструкции по обработке ПДн без использования средств автоматизации. Приложение: Инструкция по обработке ПДн без использования средств автоматизации. 20. Приказ о вводе положения о порядке хранения и уничтожения ПДн.Приказ о вводе положения о порядке хранения и уничтожения ПДн. Приложение: Положение о порядке хранения и уничтожения ПДн.Положение о порядке хранения и уничтожения ПДн. 21. Приказ о вводе электронного журнала обращений субъектов за ПДн.Приказ о вводе электронного журнала обращений субъектов за ПДн Приложение: Электронный журнал обращений.Электронный журнал обращений. 22. Приказ о вводе инструкции по работе с обращениями субъектов за ПДн. Приложение: Инструкция по работе с обращениями субъектов за ПДн. 23. Приказ о назначении администратора безопасности ПДн.Приказ о назначении администратора безопасности ПДн. Приложение: Инструкция администратора безопасности ПДн.Инструкция администратора безопасности ПДн.
24. Приказ о вводе инструкции пользователей ИСПДн. Приложение : Инструкция пользователей ИСПДн.Инструкция пользователей ИСПДн. 25. Приказ об утверждении инструкции по антивирусному контролю. Приложение: Инструкция по антивирусному контролю.Инструкция по антивирусному контролю. Журнал антивирусных проверок. 26. Приказ об утверждении инструкции по резервному копированию информации. Приложение: Инструкция по резервному копированию информации.Инструкция по резервному копированию информации. 27. Приказ об утверждении инструкции по парольной защите. Приложение: Инструкция по парольной защите информации.Инструкция по парольной защите информации. 28. Журнал учёта паролей, логинов пользователей. 29. Приказ об утверждении инструкции по работе со съёмными носителями и журнала учёта съёмных носителей информации. Приложение: Инструкция по работе со съёмными носителями.Инструкция по работе со съёмными носителями. Журнал учёта съёмных носителей информации. 30. Приказ об установке и вводе в эксплуатацию СЗИ.Приказ об установке и вводе в эксплуатацию СЗИ. Приложение: Описание СЗИ.Описание СЗИ. Акт установки СЗИ с заключением о готовности к эксплуатации. Журнал поэкземплярного учёта СЗИ. Инструкция по пользованию СЗИ.
31. Листы ознакомления с нормативной базой пользователей ИСПДн. 32. План мероприятий по обеспечению защиты ПДн. 33. План внутренних проверок. 34. Акты внутренних проверок. 35. Приказ об утверждении перечня сведений, составляющих конфиденциальную информацию. Приложение: Перечень сведений, составляющих конфиденциальную информацию. 36. Приказ о создании постоянно действующей технической комиссии. Приложение: Положение о ПДТК. План работы ПДТК (на год). Протоколы заседаний (отчёты работы). 37. Приказ об утверждении инструкции по пропускной работе в защищаемые помещения. Приложение: Инструкция по пропускной работе в защищаемые помещения.
РАБОТА С СКЗИ
ОСНОВНЫЕ РУКОВОДЯЩИЕ ДОКУМЕНТЫ 1. Приказ ФАПСИ РФ от 23 сентября 1999 г. 158 «Об утверждении положения о порядке разработки, производства, реализации и использования средств криптографической защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну (Положение ПКЗ-99) 2. Приказ ФАПСИ РФ от 13 июня 2001 г. 152 «Об утверждении инструкции об организации и обеспечении безопасности хранения, обработки и передачи по каналам связи с использованием средств криптографической защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну» 3. Приказ ФСБ РФ от 9 февраля 2005 г. 66 «Об утверждении положения о разработке реализации и эксплуатации шифровальных (криптографических) средств защиты информации (Положение ПКЗ-2005)
4. Типовые требования ФСБ РФ 149/6/6-622 от 21 февраля 2008 г. По организации и обеспечению функционирования шифровальных (криптографических) средств, предназначенных для защиты информации, не содержащей сведений, составляющих государственную тайну, в случае их использования для обеспечения безопасности персональных данных при их обработке в ИСПДн 5. Типовые требования ФСБ РФ 149/ от 21 февраля 2008 г. По обеспечению с помощью криптосредств безопасности персональных данных при их обработке в ИСПДн с использованием средств автоматизации 6. Приказ ФСБ РФ от 27 декабря 2011 г. 796 «Об утверждении Требований к средствам электронной подписи и Требований к средствам удостоверяющего центра» 7. Федеральный закон от 10 января 2002 г. 1-ФЗ «Об электронной цифровой подписи» 8. Федеральный закон от 27 июля 2006 г. 149-ФЗ «Об информации, информационных технологиях и о защите информации» 9. Постановление Пенсионного фонда РФ от 26 января 2001 г. 15 « О введении в системе Пенсионного фонда РФ криптографической защиты информации и электронной цифровой подписи»
ДОПОЛНИТЕЛЬНЫЙ ПАКЕТ ДОКУМЕНТОВ, РЕГЛАМЕНТИРУЮЩИЙ ОБРАБОТКУ ПДН С ИСПОЛЬЗОВАНИЕМ КРИПТОСРЕДСТВ Модель угроз безопасности персональных данных при их обработке в информационной системе персональных данных. Эксплуатационная и техническая документация на используемые криптосредства. Заключение о возможности эксплуатации криптосредств. Журнал учета используемых криптосредств. Журнал учета технической документации к криптосредствам. Журнал учета носителей персональных данных. Приказ о назначении лиц (пользователей криптосредств), допущенных к работе с криптосредствами. Документ, устанавливающий порядок обеспечения безопасности ПДн при помощи криптосредств. Документ, устанавливающий порядок организации контроля за соблюдением условий использования криптосредств. Документ, устанавливающий порядок хранения носителей персональных данных.
Приказ о назначении ответственного пользователя криптосредств. Функциональные обязанности ответственного пользователя криптосредств. Лицевые счета на пользователей криптосредств. Технический (аппаратный) журнал регистрации разовых ключевых носителей (при необходимости). Приказ о назначении комиссии по уничтожению ключевых документов. Документ, устанавливающий требования к режимным помещениям в которых эксплуатируются криптосредства. Журнал учета хранилищ. Журнал проверок исправности сигнализации. Журнал учета ключей от хранилищ ключевых документов и технической документации. Журнал службы охраны.
ТРЕБОВАНИЯ ФСБ ПО ОБЕСПЕЧЕНИЮ БЕЗОПАСНОСТИ ИНФОРМАЦИИ ПРИ ЕЁ ЗАЩИТЕ ПО УРОВНЮ «К» ОРГАНИЗАЦИОННОЕ ОБЕСПЕЧЕНИЕ БЕЗОПАСНОСТИ 1. Определяются должностные лица, ответственные за обеспечение безопасности информации и эксплуатации СКЗИ. 2. Разрабатываются нормативные документы, регламентирующие вопросы безопасности информации и эксплуатации СКЗИ. 3. К работе со СКЗИ допускаются сотрудники, имеющие навыки работы на ПЭВМ, ознакомленные с правилами эксплуатации СКЗИ. ТРЕБОВАНИЯ ПО РАЗМЕЩЕНИЮ СКЗИ И РЕЖИМУ ОХРАНЫ 1. Помещения, в которых размещаются программно-технические средства со встроенными СКЗИ, являются режимными и должны обеспечивать конфиденциальность проводимых работ. 2. Размещение режимных помещений и их оборудование должны исключать возможность бесконтрольного проникновения в них посторонних лиц и обеспечивать сохранность конфиденциальных документов и технических средств.
3. Размещение оборудования, техсредств должно соответствовать требованиям техники безопасности, санитарным нормам и требованиям пожарной безопасности. 4. Входные двери в помещения должны быть оборудованы замками, обеспечивающими надёжное закрытие помещений в нерабочее время. 5. Окна и двери должны оборудованы охранной сигнализацией. 6. Размещение технических средств в режимном помещении должно исключать возможность визуального просмотра конфиденциальных документов и экранов мониторов, на которых она отражается через окна. 7. Системные блоки ЭВМ со СКЗИ оборудуются средствами контроля вскрытия. 8. Ремонт и/или последующее использование системных блоков осуществляется после удаления с них программного обеспечения СКЗИ. ТРЕБОВАНИЯ ПО ОБЕСПЕЧЕНИЮ БЕЗОПАСНОСТИ КЛЮЧЕВОЙ ИНФОРМАЦИИ 1.Носители ключей ЭЦП, шифрования и инсталляционные диски с ПО СКЗИ берутся на поэкземплярный учёт в выделенных для этих целей журналах. 2.Учёт и хранение ключей поручается специально назначенному сотруднику. 3. Носители и ключи хранятся в специально выделенном сейфе.
4.Хранение ключей и инсталляционных дисков с ПО СКЗИ допускается в одном хранилище (сейфе) с другими документами при условиях, исключающих их непреднамеренное уничтожение или иное, не предусмотренное правилами пользования СКЗИ, применение. 5. Рабочие и резервные ключи хранятся раздельно, с обеспечением условия невозможности их одновременной компрометации.
ПЯТЬ РАЗНЫХ СПОСОБОВ УПРОСТИТЬ ОБРАБОТКУ ПЕРСОНАЛЬНЫХ ДАННЫХ ПОДГОТОВИТЬ БЕЗУПРЕЧНЫЙ НАБОР ДОКУМЕНТОВ (РОСКОМНАДЗОР ПРОВОДИТ ПРОВЕРКУ ТОЛЬКО ДОКУМЕНТОВ). В ПРЕДЕЛАХ ОДНОЙ ОРГАНИЗАЦИИ ОБЪЯВИТЬ ПЕРСОНАЛЬНЫЕ ДАННЫЕ ОБЩЕДОСТУПНЫМИ. ОБЕЗЛИЧТЬ ПЕРСОНАЛЬНЫЕ ДАННЫЕ (НОМЕР КОНТРАКТА, ИНН И Т.Д.). ОПРЕДЕЛИТЬ ИСПДн КАК СПЕЦИАЛЬНУЮ. НАБОР СРЕДСТВ ЗАЩИТЫ ПРЕДНАЗНАЧЕН ТОЛЬКО ДЛЯ ТИПОВЫХ СИСТЕМ. ЕСЛИ ВЫ НЕ МОЖЕТЕ КОНТРОЛИРОВАТЬ ПРОГРАММНОЕ ОБЕСПЕЧНИЕ – ТО ВСЯ СИСТЕМА ЯВЛЯЕТСЯ НЕ ВАШЕЙ, А ТОЙ КОМПАНИИ, КОТОРАЯ ЭТУ ПРОГРАММУ ВНЕДРИЛА И ТРЕБУЕТ ОТ ВАС РАБОТАТЬ С ЭТОЙ ПРОГРАММОЙ (НАЛОГОВАЯ, ПФР И Т.Д.).
- Федеральная служба по надзору в сфере связи, информационных технологий и коммуникаций (РОСКОМНАДЗОР) – Портал персональных данных - Федеральная служба по техническому и экспортному контролю (ФСТЭК России)