Федеральное государственное бюджетное образовательное учреждение высшего профессионального образования «Удмуртский государственный университет» Региональный учебно-научный центр по проблемам информационной безопасности в системе высшей школы «ИНФОРМБЕЗОПАСНОСТЬ» Кафедра информационной безопасности в управлении Института права, социального управления и безопасности Семинар «Обеспечение безопасности персональных данных при их обработке в информационных системах персональных данных»

Правовое регулирование деятельности по защите информации Колчерина Жанна Николаевна, Зам.заведующего кафедрой Информационной безопасности в управлении, ст. преподаватель

ЭЛЕКТРОННАЯ РОССИЯ ЭЛЕКТРОННАЯ РОССИЯ ЭЛЕКТРОННОЕ ПРАВИТЕЛЬСТВО ЭЛЕКТРОННОЕ ПРАВИТЕЛЬСТВО ИНФОРМАЦИОННОЕ ОБЩЕСТВО ИНФОРМАЦИОННОЕ ОБЩЕСТВО

G2G B2B C2C Информационная инфраструктура Информация Информационное общество

ФЕДЕРАЛЬНЫЙ ЗАКОН «ОБ ИНФОРМАЦИИ, ИНФОРМАЦИОННЫХ ТЕХНОЛОГИЯХ И О ЗАЩИТЕ ИНФОРМАЦИИ» от г. 149-ФЗ ИНФОРМАЦИЯ ОБЩЕДОСТУПНАЯ ИНФОРМАЦИЯ Информация ограниченного доступа

ИНФОРМАЦИЯ ОГРАНИЧЕННОГО ДОСТУПА ГОСУДАРСТВЕННАЯ ТАЙНА НЕГОСУДАРСТВЕННАЯ ТАЙНА (КОНФИДЕНЦИАЛЬНАЯ ИНФОРМАЦИЯ)

КОНФИДЕНЦИАЛЬНАЯ ИНФОРМАЦИЯ 1. Сведения о фактах, событиях и обстоятельствах частной жизни гражданина, позволяющие идентифицировать его личность (ПЕРСОНАЛЬНЫЕ ДАННЫЕ), за исключением сведений, подлежащих распространению в средствах массовой информации в установленных федеральными законами случаях. 1. Сведения о фактах, событиях и обстоятельствах частной жизни гражданина, позволяющие идентифицировать его личность (ПЕРСОНАЛЬНЫЕ ДАННЫЕ), за исключением сведений, подлежащих распространению в средствах массовой информации в установленных федеральными законами случаях. 2. Сведения, составляющие ТАЙНУ СЛЕДСТВИЯ И СУДОПРОИЗВОДСТВА, а также сведения о защищаемых лицах и мерах государственной защиты, осуществляемой в соответствии с Федеральным законом от 20 августа 2004 г. N 119-ФЗ "О государственной защите потерпевших, свидетелей и иных участников уголовного судопроизводства" и другими нормативными правовыми актами Российской Федерации. 2. Сведения, составляющие ТАЙНУ СЛЕДСТВИЯ И СУДОПРОИЗВОДСТВА, а также сведения о защищаемых лицах и мерах государственной защиты, осуществляемой в соответствии с Федеральным законом от 20 августа 2004 г. N 119-ФЗ "О государственной защите потерпевших, свидетелей и иных участников уголовного судопроизводства" и другими нормативными правовыми актами Российской Федерации. 3. Служебные сведения, доступ к которым ограничен органами государственной власти в соответствии с Гражданским кодексом Российской Федерации и федеральными законами (СЛУЖЕБНАЯ ТАЙНА). 3. Служебные сведения, доступ к которым ограничен органами государственной власти в соответствии с Гражданским кодексом Российской Федерации и федеральными законами (СЛУЖЕБНАЯ ТАЙНА). 4. СВЕДЕНИЯ, СВЯЗАННЫЕ С ПРОФЕССИОНАЛЬНОЙ ДЕЯТЕЛЬНОСТЬЮ, доступ к которым ограничен в соответствии с Конституцией Российской Федерации и федеральными законами (врачебная, нотариальная, адвокатская тайна, тайна переписки, телефонных переговоров, почтовых отправлений, телеграфных или иных сообщений и так далее). 4. СВЕДЕНИЯ, СВЯЗАННЫЕ С ПРОФЕССИОНАЛЬНОЙ ДЕЯТЕЛЬНОСТЬЮ, доступ к которым ограничен в соответствии с Конституцией Российской Федерации и федеральными законами (врачебная, нотариальная, адвокатская тайна, тайна переписки, телефонных переговоров, почтовых отправлений, телеграфных или иных сообщений и так далее). 5. Сведения, связанные с коммерческой деятельностью, доступ к которым ограничен в соответствии с Гражданским кодексом Российской Федерации и федеральными законами (КОММЕРЧЕСКАЯ ТАЙНА). 5. Сведения, связанные с коммерческой деятельностью, доступ к которым ограничен в соответствии с Гражданским кодексом Российской Федерации и федеральными законами (КОММЕРЧЕСКАЯ ТАЙНА). 6. СВЕДЕНИЯ О СУЩНОСТИ ИЗОБРЕТЕНИЯ, ПОЛЕЗНОЙ МОДЕЛИ ИЛИ ПРОМЫШЛЕННОГО ОБРАЗЦА до официальной публикации информации о них. 6. СВЕДЕНИЯ О СУЩНОСТИ ИЗОБРЕТЕНИЯ, ПОЛЕЗНОЙ МОДЕЛИ ИЛИ ПРОМЫШЛЕННОГО ОБРАЗЦА до официальной публикации информации о них. Указ Президента РФ от N 188 "Об утверждении Перечня сведений конфиденциального характера"

ИНФОРМАЦИЯ, СОДЕРЖАЩАЯ ПЕРСОНАЛЬНЫЕ ДАННЫЕ ОБЩЕДОСТУПНАЯ ИНФОРМАЦИЯ ОБЩЕДОСТУПНАЯ ИНФОРМАЦИЯ ГОСУДАРСТВЕННАЯ ТАЙНА ГОСУДАРСТВЕННАЯ ТАЙНА КОММЕРЧЕСКАЯ ТАЙНА КОММЕРЧЕСКАЯ ТАЙНА СЛУЖЕБНАЯ ТАЙНА СЛУЖЕБНАЯ ТАЙНА ПРОФЕССИОНАЛЬНАЯ ТАЙНА (ВРАЧЕБНАЯ, АДВОКАТСКАЯ И Т.Д.) ПРОФЕССИОНАЛЬНАЯ ТАЙНА (ВРАЧЕБНАЯ, АДВОКАТСКАЯ И Т.Д.)

ФЕДЕРАЛЬНЫЙ ЗАКОН «ОБ ИНФОРМАЦИИ, ИНФОРМАЦИОННЫХ ТЕХНОЛОГИЯХ И О ЗАЩИТЕ ИНФОРМАЦИИ» от г. 149-ФЗ Защита информации представляет собой принятие правовых, организационных и технических мер, направленных на: 1) обеспечение защиты информации от неправомерного доступа, уничтожения, модифицирования, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении такой информации (целостность) ; 2) соблюдение конфиденциальности информации ограниченного доступа (конфиденциальность ); 3) реализацию права на доступ к информации (доступность).

Нормативная база ФЕДЕРАЛЬНЫЕ ЗАКОНЫ ФЕДЕРАЛЬНЫЕ ЗАКОНЫ УКАЗЫ ПРЕЗИДЕНТА УКАЗЫ ПРЕЗИДЕНТА ПОСТАНОВЛЕНИЯ ПРАВИТЕЛЬСТВА ПОСТАНОВЛЕНИЯ ПРАВИТЕЛЬСТВА ПРИКАЗЫ ФСТЭК ПРИКАЗЫ ФСТЭК СТАНДАРТЫ СТАНДАРТЫ

Федеральные законы Федеральный закон от 27 июля 2006 года 152-ФЗ «О персональных данных» Федеральный закон от 27 июля 2006 года 152-ФЗ «О персональных данных» Федеральный закон от 27 июля 2006 года 149-ФЗ «Об информации, информационных технологиях и о защите информации» Федеральный закон от 27 июля 2006 года 149-ФЗ «Об информации, информационных технологиях и о защите информации» Федеральный закон от 19 декабря 2005 года 160-ФЗ «О ратификации Конвенции Совета Европы О защите физических лиц при автоматической обработке персональных данных» Федеральный закон от 19 декабря 2005 года 160-ФЗ «О ратификации Конвенции Совета Европы О защите физических лиц при автоматической обработке персональных данных» Федеральный закон от 10 января 2002 года 1-ФЗ «Об электронной цифровой подписи» Федеральный закон от 10 января 2002 года 1-ФЗ «Об электронной цифровой подписи» Федеральный закон от N 63-ФЗ "Об электронной подписи" Федеральный закон от N 63-ФЗ "Об электронной подписи" Федеральный закон от N 99-ФЗ "О лицензировании отдельных видов деятельности" Федеральный закон от N 99-ФЗ "О лицензировании отдельных видов деятельности" Федеральный закон от N 8-ФЗ "Об обеспечении доступа к информации о деятельности государственных органов и органов местного самоуправления« Федеральный закон от N 8-ФЗ "Об обеспечении доступа к информации о деятельности государственных органов и органов местного самоуправления« Трудовой кодекс Российской Федерации от N 197-ФЗ Трудовой кодекс Российской Федерации от N 197-ФЗ Кодекс Российской Федерации об административных правонарушениях от N 195-ФЗ Кодекс Российской Федерации об административных правонарушениях от N 195-ФЗ Гражданский кодекс Российской Федерации (часть четвертая)" от N 230-ФЗ Гражданский кодекс Российской Федерации (часть четвертая)" от N 230-ФЗ Уголовный кодекс Российской Федерации от N 63-ФЗ Уголовный кодекс Российской Федерации от N 63-ФЗ

Указы Президента РФ Указ Президента Российской Федерации от 17 марта 2008 г. 351 «О мерах по обеспечению информационной безопасности Российской Федерации при использовании информационно- телекоммуникационных сетей международного информационного обмена» Указ Президента Российской Федерации от 17 марта 2008 г. 351 «О мерах по обеспечению информационной безопасности Российской Федерации при использовании информационно- телекоммуникационных сетей международного информационного обмена» Указ Президента Российской Федерации от 6 марта 1997 года 188 «Об утверждении Перечня сведений конфиденциального характера» Указ Президента Российской Федерации от 6 марта 1997 года 188 «Об утверждении Перечня сведений конфиденциального характера» Указ Президента РФ от N 609 "Об утверждении Положения о персональных данных государственного гражданского служащего Российской Федерации и ведении его личного дела"

Постановления Правительства Постановление Правительства Российской Федерации от 17 ноября 2007 года 781 «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных» Постановление Правительства Российской Федерации от 17 ноября 2007 года 781 «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных» Постановление Правительства РФ от N 687 Постановление Правительства РФ от N 687 "Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации" "Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации" Постановление Правительства РФ от N 512 "Об утверждении требований к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных " Постановление Правительства РФ от N 512 "Об утверждении требований к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных " Постановление Правительства Российской Федерации от 15 августа 2006 г. 504 «О лицензировании деятельности по технической защите конфиденциальной информации» Постановление Правительства Российской Федерации от 15 августа 2006 г. 504 «О лицензировании деятельности по технической защите конфиденциальной информации» Постановление Правительства Российской Федерации от 31 августа 2006 г. 532 «О лицензировании деятельности по разработке и / или производству средств защиты конфиденциальной информации» Постановление Правительства Российской Федерации от 31 августа 2006 г. 532 «О лицензировании деятельности по разработке и / или производству средств защиты конфиденциальной информации» Постановление Правительства Российской Федерации от 26 июня 1995 года 608 «О сертификации средств защиты информации» Постановление Правительства Российской Федерации от 26 июня 1995 года 608 «О сертификации средств защиты информации»

Стандарты "Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 2. Функциональные требования безопасности. ГОСТ Р ИСО/МЭК « "Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 2. Функциональные требования безопасности. ГОСТ Р ИСО/МЭК « "Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 1. Введение и общая модель. ГОСТ Р ИСО/МЭК " "Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования. ГОСТ Р ИСО/МЭК " "Информационная технология. Практические правила управления информационной безопасностью. ГОСТ Р ИСО/МЭК « "Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 1. Введение и общая модель. ГОСТ Р ИСО/МЭК " "Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования. ГОСТ Р ИСО/МЭК " "Информационная технология. Практические правила управления информационной безопасностью. ГОСТ Р ИСО/МЭК « ГОСТ «Система обработки информации. Защита криптографическая. Алгоритм криптографического преобразования» 15 июля 2009 ГОСТ Р «Информационная технология. Криптографическая защита информации. Процедуры выработки и проверки электронной цифровой подписи на базе асимметричного криптографического алгоритма» 15 июля 2009 ГОСТ Р «Информационная технология. Криптографическая защита информации. Процессы формирования и проверки электронной цифровой подписи» 15 июля 2009 ГОСТ Р «Информационная технология. Криптографическая защита информации. Функция хеширования» 15 июля 2009 ГОСТ Р 50739–95 «Средства вычислительной техники. Защита от несанкционированного доступа к информации. Общие технические требования» 15 июля 2009 ГОСТ Р «Защита информации. Основные термины и определения» 15 июля 2009

Руководящие документы Руководящий документ. Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации. Утверждено решением председателя Государственной технической комиссии при Президенте Российской Федерации от 30 марта 1992 г. Руководящий документ. Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации. Утверждено решением председателя Государственной технической комиссии при Президенте Российской Федерации от 30 марта 1992 г. Руководящий документ. Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации. Утверждено решением председателя Государственной технической комиссии при Президенте Российской Федерации от 30 марта 1992 г. Руководящий документ. Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации. Утверждено решением председателя Государственной технической комиссии при Президенте Российской Федерации от 30 марта 1992 г. Руководящий документ. Средства вычислительной техники. Межсетевые экраны. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации. Утвержден Председателем Гостехкомиссии России 25 июля 1997 г. Руководящий документ. Средства вычислительной техники. Межсетевые экраны. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации. Утвержден Председателем Гостехкомиссии России 25 июля 1997 г. Руководящий документ. Защита от несанкционированного доступа. Часть 1. Программное обеспечение средств защиты информации. Классификация по уровню контроля отсутствия недекларированных возможностей. Утвержден приказом Гостехкомиссии России от 4 июня 1999 г. 114 Руководящий документ. Защита от несанкционированного доступа. Часть 1. Программное обеспечение средств защиты информации. Классификация по уровню контроля отсутствия недекларированных возможностей. Утвержден приказом Гостехкомиссии России от 4 июня 1999 г. 114 Руководящий документ. Безопасность информационных технологий. Критерии оценки безопасности информационных технологий. Утвержден приказом Гостехкомиссии России от 19 июня 2002 г. 187 (часть 1, часть 2, часть 3) Руководящий документ. Безопасность информационных технологий. Критерии оценки безопасности информационных технологий. Утвержден приказом Гостехкомиссии России от 19 июня 2002 г. 187 (часть 1, часть 2, часть 3) Нормативно-методический документ. Специальные требования и рекомендации по технической защите конфиденциальной информации (СТР-К) Нормативно-методический документ. Специальные требования и рекомендации по технической защите конфиденциальной информации (СТР-К)

ЗАКОНОДАТЕЛЬНАЯ БАЗА ПО ОБЕСПЕЧЕНИЮ БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ Методические рекомендации по обеспечению с помощью криптосредств безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств автоматизации. Утверждены руководством 8 Центра ФСБ России 21 февраля 2008 года 149/ Методические рекомендации по обеспечению с помощью криптосредств безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств автоматизации. Утверждены руководством 8 Центра ФСБ России 21 февраля 2008 года 149/ Типовые требования по организации и обеспечению функционирования шифровальных (криптографических) средств, предназначенных для защиты информации, не содержащей сведений, составляющих государственную тайну в случае их использования для обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных. Утверждены руководством 8 Центра ФСБ России 21 февраля 2008 года 149/6/6-622 Типовые требования по организации и обеспечению функционирования шифровальных (криптографических) средств, предназначенных для защиты информации, не содержащей сведений, составляющих государственную тайну в случае их использования для обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных. Утверждены руководством 8 Центра ФСБ России 21 февраля 2008 года 149/6/6-622

«Порядок проведения классификации информационных систем персональных данных» утвержден приказом ФСТЭК России, ФСБ России и Мининформсвязи России от 13 февраля 2008г. 55/86/20. утвержден приказом ФСТЭК России, ФСБ России и Мининформсвязи России от 13 февраля 2008г. 55/86/20. «Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных» утверждена ФСТЭК России 15 февраля 2008г. «Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных» утверждена ФСТЭК России 14 февраля 2008г. ЗАКОНОДАТЕЛЬНАЯ БАЗА ПО ОБЕСПЕЧЕНИЮ БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ Приказ ФСТЭК РФ от г. 58 «Об утверждении Положения о методах и способах защиты информации в информационных системах персональных данных»

ПОСТУЛАТЫ СЕРТИФИЦИРОВАННЫЕ ПРОГРАММНОЕ ОБЕСПЕЧЕНИЕ И СРЕДСТВА ЗАЩИТЫ ИНФОРМАЦИИ (ФСБ, ФСТЭК) СЕРТИФИЦИРОВАННЫЕ ПРОГРАММНОЕ ОБЕСПЕЧЕНИЕ И СРЕДСТВА ЗАЩИТЫ ИНФОРМАЦИИ (ФСБ, ФСТЭК) ЗАЩИЩЕННЫЙ КАНАЛ СВЯЗИ ЗАЩИЩЕННЫЙ КАНАЛ СВЯЗИ АУТЕНТИФИКАЦИЯ ПОЛЬЗОВАТЕЛЕЙ АУТЕНТИФИКАЦИЯ ПОЛЬЗОВАТЕЛЕЙ СИСТЕМА РАЗГРАНИЧЕНИЯ ДОСТУПА СУБЪЕКТОВ К ОБЪЕКТАМ СИСТЕМА РАЗГРАНИЧЕНИЯ ДОСТУПА СУБЪЕКТОВ К ОБЪЕКТАМ НОРМАТИВНО-МЕТОДИЧЕСКОЕ ОБЕСПЕЧЕНИЕ ПО ЗАЩИТЕ ИНФОРМАЦИИ НОРМАТИВНО-МЕТОДИЧЕСКОЕ ОБЕСПЕЧЕНИЕ ПО ЗАЩИТЕ ИНФОРМАЦИИ КВАЛИФИЦИРОВАННЫЙ ПЕРСОНАЛ КВАЛИФИЦИРОВАННЫЙ ПЕРСОНАЛ КОНТРОЛЬ ЗА СОБЛЮДЕНИЕМ УСЛОВИЙ КОНТРОЛЬ ЗА СОБЛЮДЕНИЕМ УСЛОВИЙ

СПАСИБО ЗА ВНИМАНИЕ!

РУНЦ «ИНФОРМБЕЗОПАСНОСТЬ» ОБЕСПЕЧЕНИЕ БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ ПРИ ИХ ОБРАБОТКЕ В ИНФОРМАЦИОННЫХ СИСТЕМАХ ПЕРСОНАЛЬНЫХ ДАННЫХ» – 72 ЧАС.