Информационная безопасность в защищенной сети передачи данных 2011 г. Начальник отдела по информационной безопасности ФГУ ФЦТ Начальник отдела по информационной безопасности ФГУ ФЦТ Андрианов Олег Эрнстович

27 июля 2006 г.Федеральный закон 149-ФЗ «Об информации информационных технологиях и о защите информации» 27 июля 2006 г.Федеральный закон 152-ФЗ (ред. от ) «О персональных данных» 17 ноября 2007 г.Постановление Правительства России 781 «Положение об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных» 13 февраля 2008 г.Приказ ФСТЭК, ФСБ и МинИнформсвязи России 55/86/20 «Об утверждении Порядка проведения классификации информационных систем персональных данных» Основные руководящие документы по ИБ

15 февраля 2008 г.ФСТЭК «Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных» 15 февраля 2008 г.ФСТЭК «Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных» 5 февраля 2010 г.Приказ ФСТЭК 58 «Об утверждении положения о методах и способах защиты информации в информационных системах защиты персональных данных» 10 июля 1992 г.Закон РФ (ред. от ) «Об образовании»

Что изменилось? Федеральный закон 152-ФЗ (ред. от ) «О персональных данных» Ст. 25, п Информационные системы персональных данных, созданные до 1 января 2011 года, должны быть приведены в соответствие с требованиями настоящего Федерального закона не позднее 1 июля 2011 года.

Закон РФ (ред. от ) «Об образовании» Ст. 15, п. 4.1 …Сведения, содержащиеся в контрольных измерительных материалах, относятся к информации ограниченного доступа. Порядок разработки, использования и хранения контрольных измерительных материалов (включая требования к режиму их защиты, порядку и условиям размещения сведений, содержащихся в контрольных измерительных материалах, в сети "Интернет") устанавливается федеральным органом исполнительной власти, осуществляющим функции по контролю и надзору в сфере образования. Лица, привлекаемые к проведению единого государственного экзамена, а в период проведения единого государственного экзамена также лица, сдававшие единый государственный экзамен, несут в соответствии с законодательством Российской Федерации ответственность за разглашение содержащихся в контрольных измерительных материалах сведений.

Закон РФ (ред. от ) «Об образовании» Ст. 15, п. 5.1 Органы и организации, указанные в абзаце втором настоящего пункта, осуществляют передачу, обработку и предоставление полученных в связи с проведением единого государственного экзамена и приема граждан в образовательные учреждения среднего профессионального образования и образовательные учреждения высшего профессионального образования персональных данных обучающихся, участников единого государственного экзамена, лиц, привлекаемых к его проведению, а также лиц, поступающих в такие образовательные учреждения, в соответствии с требованиями законодательства Российской Федерации в области персональных данных без получения согласия этих лиц на обработку их персональных данных.

Ст. 15, дополнить пунктом 9 следующего содержания: В местах проведения единого государственного экзамена, государственной (итоговой) аттестации обучающихся, олимпиад школьников, вступительных испытаний, проводимых образовательными учреждениями среднего профессионального образования и образовательными учреждениями высшего профессионального образования, во время проведения указанных мероприятий запрещается размещать, участникам указанных мероприятий и лицам, привлекаемым к их проведению, запрещается иметь при себе и использовать средства связи и электронно-вычислительной техники (в том числе калькуляторы), за исключением случаев, установленных нормативными правовыми актами Российской Федерации.

Приказ МОН 57 от 24 февраля 2009 г. Об утверждении порядка проведения ЕГЭ. Гл. III, п В целях обеспечения проведения ЕГЭ на территории субъекта Российской Федерации органы исполнительной власти субъектов Российской Федерации, осуществляющие управление в сфере образования, проводят мероприятия по: …обеспечению соблюдения режима информационной безопасности при доставке, хранении и использовании экзаменационных материалов. Возвращаясь к вопросу о контрольно измерительных материалах

Хранение экзаменационных материалов до дня проведения экзамена обеспечивается органом исполнительной власти субъекта Российской Федерации, осуществляющим управление в сфере образования. Хранение экзаменационных материалов до начала экзамена в пункте проведения ЕГЭ обеспечивается руководителем ППЭ. Для хранения экзаменационных материалов выделяется помещение, исключающее доступ к нему посторонних лиц и позволяющее обеспечить сохранность экзаменационных материалов. Вскрытие экзаменационных материалов до начала экзамена запрещено. Гл. V, п. 31

Гл. VI, п Экзаменационные материалы, прошедшие обработку, хранятся в РЦОИ в помещении, исключающем доступ к ним посторонних лиц и позволяющем обеспечить сохранность указанных материалов, до 31 декабря текущего года и по истечении указанного срока уничтожаются в установленном порядке.

Приказ МОН 133 от 15 апреля 2009 г. Об утверждении порядка формирования и ведения ФБД и БД субъектов РФ об участниках ЕГЭ и о результатах ЕГЭ, обеспечения их взаимодействия и доступа к содержащейся в них информации Гл. I, п. 3, п.п. д) 3. При формировании и ведении ФБД ЕГЭ (РБД ЕГЭ) учитывается: д) обеспечение безопасности включаемой и содержащейся в ФБД ЕГЭ (РБД ЕГЭ) информации путем создания системы, включающей в себя организационные меры, средства защиты информации (в том числе шифровальные (криптографические) средства, средства предотвращения несанкционированного доступа, утечки информации по техническим каналам, программно-технических воздействий на технические средства обработки персональных данных), информационные технологии, а также иные условия защиты информации, предусмотренные законодательством Российской Федерации.

6. Формирование и ведение ФБД ЕГЭ (РБД ЕГЭ) осуществляются с применением стандартизированных технических и программных средств, в том числе позволяющих осуществлять обработку персональных данных участников ЕГЭ, на основе использования единых форматов и классификаторов учетных данных и стандартных протоколов. Технические и программные средства должны удовлетворять устанавливаемым в соответствии с законодательством Российской Федерации требованиям, обеспечивающим защиту информации. Защита и обеспечение безопасности персональных данных участников ЕГЭ, включаемых в ФБД ЕГЭ (РБД ЕГЭ), осуществляются в порядке и с соблюдением требований, установленных законодательством Российской Федерации. Гл. I, п. 6

Что конкретно понимать под универсальной формулировкой: ….в порядке и с соблюдением требований, установленных законодательством Российской Федерации. Наиболее полно на этот вопрос отвечает Приказ ФСТЭК 58 «Об утверждении положения о методах и способах защиты информации в информационных системах защиты персональных данных».

Методы и способы защиты информации применяемые в ЗСПД ограничение доступа пользователей в помещения, где размещены технические средства, позволяющие осуществлять обработку персональных данных, а также хранятся носители информации; разграничение доступа пользователей и обслуживающего персонала к информационным ресурсам, программным средствам обработки (передачи) и защиты информации; регистрация действий пользователей и обслуживающего персонала, контроль несанкционированного доступа и действий пользователей, обслуживающего персонала и посторонних лиц; учет и хранение съемных носителей информации и их обращение, исключающее хищение, подмену и уничтожение; использование средств защиты информации, прошедших в установленном порядке процедуру оценки соответствия; использование защищенных каналов связи;

размещение технических средств, позволяющих осуществлять обработку персональных данных, в пределах охраняемой территории; организация физической защиты помещений и собственно технических средств, позволяющих осуществлять обработку персональных данных; использование средств антивирусной защиты; межсетевое экранирование с целью управления доступом, фильтрации сетевых пакетов и трансляции сетевых адресов для скрытия структуры информационной системы; использование смарт-карт и электронных замков для надежной идентификации и аутентификации пользователей; централизованное управление системой защиты персональных данных информационной системы; фильтрация входящих (исходящих) сетевых пакетов по правилам, заданным оператором.

Практическая реализация в «железе» и ПО Криптографические средства: ПАК VipNet Coordinator; ПО VipNet Client. Средства защиты от НСД: ПО SecretNet; средство аутентификации eToken Pro; аппаратно-программный модуль доверенной загрузки «Соболь».

Контактная информация Начальник отдела по информационной безопасности ФГУ ФЦТ Андрианов Олег Эрнстович тел факс

Вопросы ?