Защита персональных данных от несанкционированного доступа

Федеральный закон от ФЗ «О персональных данных»; Постановление Правительства Российской Федерации от «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных»; Постановление Правительства Российской Федерации от «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»; Руководящие и методические документы ФСТЭК России и ФСБ России. 2 / 12 Нормативные правовые акты

Персональные данные - это любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация. Специальные категории персональных данных - это данные о расовой, национальной принадлежности, политических взглядах, религиозных или философских убеждениях, состоянии здоровья, интимной жизни. Биометрические персональные данные - это сведения, которые характеризуют физиологические особенности человека, на основе которых можно установить его личность. 3 / 12 Основные понятия, термины и определения

Субъект персональных данных - это физическое лицо. Оператор персональных данных - это государственный орган, муниципальный орган, юридическое или физическое лицо, организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели и содержание обработки персональных данных. Реестр операторов - перечень, список операторов, осуществляющих обработку персональных данных. Уполномоченный орган по защите прав субъектов персональных данных - Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор). 4 / 12 Основные понятия, термины и определения

Ведение реестра операторов персональных данных; Проверка сведений, содержащихся в уведомлении об обработке персональных данных операторов; Проверка деятельности операторов по обработке персональных данных; Проверка обеспечения операторами безопасности персональных данных при их обработке в информационных системах персональных данных, а также требований к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных; Проверка выполнения операторами предписаний по устранению ранее выявленных нарушений требований законодательства области персональных данных. 5 / 12 Основные функции Роскомнадзора

Неправомерный доступ к компьютерной информации - несанкционированное собственником информации ознакомление лица с данными, содержащимися на машинных носителях или в ЭВМ; Уничтожение компьютерной информации - полная физическая ликвидация информации или ее элементов, влияющих на изменение существенных, идентифицирующих информацию, признаков; Модификация информации - внесение в нее любых изменений, обуславливающих ее отличие от той, которую включил в систему и которой владеет собственник информационного ресурса; Блокирование - результат воздействия на ЭВМ и ее элементы, повлекший временную или постоянную невозможность осуществлять какие-либо операции над компьютерной информацией. 6 / 12 Преступления в сфере компьютерной информации

Уведомление уполномоченного органа по защите прав субъектов персональных данных о своем намерении осуществлять обработку персональных данных; Предоставление субъекту персональных данных по его просьбе информации о целях и способах обработки его персональных данных; Защита персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных, а также от иных неправомерных действий. 7 / 12 Основные обязанности оператора ПДн

Назначение должностных лиц, ответственных за обеспечение безопасности персональных данных; Определение перечня персональных данных подлежащих защите; Определение круга лиц, доступ которых к персональным данным необходим для исполнения служебных обязанностей; Разработка частной модели угроз; Классификация информационных систем персональных данных; Разработка документов, определяющих правила парольной и антивирусной защиты, резервного копирования, ремонта вычислительной техники и обновления программного обеспечения. 8 / 12 Организационные меры защиты ПДн

Бумажные и электронные носители персональных данных должны храниться в надежном хранилище (сейф или металлический шкаф); Вход в компьютер должен осуществляться только после ввода пароля, длиной не менее 8 символов; Экраны мониторов должны быть расположены таким образом, чтобы исключить случайное или преднамеренное считывание информации посторонними лицами; Передача персональных данных сторонним лицам и организациям возможна только по их письменному запросу, в котором указано законное основание для получения таких данных и цель их обработки. 9 / 12 Организационные меры защиты ПДн

На основании утвержденных документов, а также с учетом имеющихся данных о классе ИСПДн и перечня актуальных угроз формулируются конкретные технические требования по защите ИСПДн и осуществляется конкретный выбор программных и технических средств защиты информации. Направления технической защиты: Управление доступом, регистрация и учет; Обеспечение целостности и контроль отсутствия недекларированных возможностей; Обеспечение безопасного межсетевого взаимодействия и антивирусная защита; Криптографическая защита, защита от утечек по техническим каналам и обнаружение вторжений; Мероприятия по размещению, специальному оборудованию, охране и организации режима допуска в помещения, где ведется работа с ПДн. 10 / 12 Технические меры защиты ПДн

Для проверки достигнутого уровня защищенности объектов информатизации проводится процедура аттестации. Для проведения аттестации привлекаются специализированные организации, имеющие лицензию ФСТЭК на деятельность по технической защите конфиденциальной информации. Аттестация объектов информатизации состоит из комплекса организационно-технических мероприятий, в результате которых посредством специального документа - «Аттестата соответствия» - подтверждается, что объект соответствует требованиям стандартов или иных нормативно-технических документов по безопасности информации, утвержденных государственными органами по сертификации и аттестации в пределах своей компетенции. 11 / 12 Технические меры защиты ПДн

Спасибо за внимание! 12 / 12