Безопасность персональных данных Нормативная база в области информационной безопасности Ю.М. Веселов.

03 июня 2009 г. (с) автора2 Каждому человеку и гражданину гарантируется государственная защита: - информации о частной жизни, включая право на неприкосновенность частной жизни от постороннего вмешательства и (или) контроля; - тайны переписки, телефонных переговоров, почтовых, телеграфных и иных сообщений; - личной тайны, свободы выражения мнения, свободы мысли, совести и вероисповедания. Конституция Российской Федерации

03 июня 2009 г. (с) автора3 Национальные интересы в области безопасности «Национальные интересы Российской Федерации на долгосрочную перспективу заключаются: в развитии демократии и гражданского общества …» «Стратегия национальной безопасности Российской Федерации до 2020 года», Указ Президента РФ от

03 июня 2009 г. (с) автора4 Персональные данные и информационные технологии персональные данные - любая информация, относящаяся к определенному … физическому лицу …, в том числе его фамилия, имя, отчество, … информационная система персональных данных - … совокупность персональных данных, содержащихся в базе данных, а также информационных технологий и технических средств… «О персональных данных», 152-ФЗ от

03 июня 2009 г. (с) автора5 Стратегические цели системы обеспечения информационной безопасности 1.Уменьшение уязвимости к угрозам информационной безопасности. 2.Минимизация ущерба и времени восстановления системы после реализации угроз (успешных атак на систему). 3.Предупреждение нарушений информационной безопасности органов исполнительной власти и предприятий города «Концепция информационный безопасности в органах исполнительной власти города Москвы».Утв.Мэром Москвы

03 июня 2009 г. (с) автора6 Документы федерального уровня в области информационной безопасности Нормативно-правовые документы: Закон Об информации, информационных технологиях и о защите информации; Закон О персональных данных; Закон О лицензировании отдельных видов деятельности и др. Организационно-распорядительные документы Доктрина информационной безопасности Российской Федерации,др. Нормативно-технические документы Специальные требования и рекомендации по технической защите конфиденциальной информации (СТР-К) Положение об обеспечении безопасности персональных данных при их обработке в информационных системах и др. Всего 74 норматива по перечню от Правительства Москвы

03 июня 2009 г. (с) автора7 Документы Правительства Москвы в области информационной безопасности Нормативно-правовые документы: Закон Об информационных ресурсах и информатизации города Москвы ; Закон О городской целевой программе «Электронная Москва» и др. Организационно-распорядительные документы Концепция безопасности Москвы; Концепция информационный безопасности в органах исполнительной власти города Москвы. Часть II. Конфиденциальные и открытые информационные ресурсы и др. Нормативно-технические документы Положение по защите информации в информационных системах и ресурсах органов исполнительной власти города Москвы и др. Всего 14 нормативов по перечню от Правительства Москвы

03 июня 2009 г. (с) автора8 Законодательные нормы обеспечения безопасности ПДн (расширение) НормаДо 2006 г.С 2006 г. Управление обеспечением безопасности (уполномоченные органы) ФСТЭК РФ ФСБ РФ Роскомнадзор: УО по защите прав субъектов ПД ФСТЭК РФ, ФСБ РФ (УО по технологиям защиты ПД) Управление уровнем безопасности (задание системных требован.) Требования к объектам и средствам системы ЗИ Требования Требования к информационной системе ПД Ответственность - административная за - уголовная за Отказ в предоставлении субъекту ПД информации (ст КоАП РФ). Нарушение порядка сбора, хранения, распространения ПД (ст , ст КоАП РФ). Незаконные сбор или распространение сведений о частной жизни лица (ст. 137 УК РФ). Неправомерный отказ в предоставлении ПД с доказанным вредом интересам граждан (ст. 140 УК РФ).

03 июня 2009 г. (с) автора9 Обеспечение безопасности персональных данных Безопасность персональных данных достигается путем исключения несанкционированного, в том числе случайного, доступа к персональным данным, результатом которого может стать уничтожение, изменение, блокирование, копирование, распространение персональных данных, а также иных несанкционированных действий «Положение по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных», постановление Правительства РФ 7811от

03 июня 2009 г. (с) автора10 Нормативное и методическое обеспечения информационной безопасности, ИС ПДн (перечень документов, утверждены Мэром Москвы ) 1. Положение о защите информации в информационных системах и ресурсах органов исполнительной власти города Москвы 2. Положение о Реестре конфиденциальной информации, содержащейся в информационных системах и ресурсах органов исполнительной власти города Москвы. 3. Методические рекомендации по формированию требований к обеспечению информационной безопасности информационных систем и ресурсов органов исполнительной власти города Москвы. 4. Информационная безопасность информационных систем и ресурсов органов исполнительной власти и организаций города Москвы. Классификатор конфиденциальной информации, содержащейся в информационных системах и ресурсах органов исполнительной власти города Москвы. 5. Информационная безопасность информационных систем и ресурсов органов исполнительной власти города Москвы. Термины и определения. 6. Информационная безопасность информационных систем и ресурсов органов исполнительной власти города Москвы. Нормативные документы

03 июня 2009 г. (с) автора11 Нормативное обеспечения информационной безопасности, ИС ПДн (перечень документов, утверждены Мэром Москвы ) 1. Положение о порядке организации и проведения работ по защите конфиденциальной информации при ее автоматизированной обработке. 2. Положение о порядке разработки систем защиты информации в автоматизированных системах города Москвы. 3. Положение о порядке проведения эксплуатации систем защиты информации в автоматизированных системах города Москвы. 4. Положение о порядке проведения контроля защищенности автоматизированных системах города Москвы. 5. Положение об аттестации автоматизированных систем по требованиям безопасности информации города Москвы.

03 июня 2009 г. (с) автора12 Квалификационный минимум требований организационного обеспечения ИБ обеспечение штатного наполнения иерархической структуры КСИБ в части ИСиР; разработка и контроль реализации программ и планов обеспечения ИБ ИСиР; организация ведения договорной работы государственных заказчиков создания и эксплуатации ИСиР, контроль лицензий на право ведения работ по созданию, обслуживанию защищаемых ИСиР и порядка применения сертифицированных средств защиты; определение порядка обращения с категорированной информацией ИСиР в соответствии с требованиями регламентов Правительства Москвы; контроль выполнения регламентов органов власти города в части обеспечения ИБ, реализации механизмов поощрения и наказания должностных лиц.

03 июня 2009 г. (с) автора13 Квалификационный минимум требований технического обеспечения ИБ Блок директив ИБ по технологическим процессам обработки информации в ИСиР. Блок директив ИБ документального оформления проектов технического обеспечения ИСиР, включающий общие технические требования ИБ ИСиР, требования по безопасности к отдельным типам информационных технологий, а также требования к технической документации на систему защиты информации. Блок директив ИБ технического обеспечения базового уровня безопасности ИСиР, включающей требования: - по управлению доступом, регистрации и учету, обеспечению целостности ОС, дополняемые специальными программно- техническими средствами цифровых сертификатов; - по антивирусной защите и по криптозащите на средствах специального программного обеспечения защиты; - по резервному копированию и восстановлению данных, по контролю и управлению защитой.

03 июня 2009 г. (с) автора14 Нормативные документы Правительства РФ в области защиты персональных данных Положение по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных (утв. постановлением Правительства РФ 7811 от ) Порядок проведения классификации информационных систем персональных данных (совместный приказ ФСТЭК, ФСБ, Мининформсвязи 55/86/20 от ) Положение «Об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации», утверждено Постановлением Правительства Российской Федерации 687 от г. Приказ Федеральной службы по надзору в сфере массовых коммуникаций, связи и охраны культурного наследия «Об утверждении Положения о ведении реестра операторов, осуществляющих обработку персональных данных» 154 от г.

03 июня 2009 г. (с) автора15 Нормативные документы уполномоченных органов РФ в области защиты персональных данных Руководящие, методические документы ФСТЭК РФ (утв ): - Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных; - Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных; - Основные мероприятия по организации и техническому обеспечению безопасности персональных данных, обрабатываемых в информационных системах персональных данных; - Рекомендации по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных. Руководящие, методические документы ФСБ РФ (утв ): - Методические рекомендации по обеспечению с помощью криптосредств безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств автоматизации - Типовые требования по организации и обеспечению функционирования шифровальных (криптографических) средств, предназначенных для защиты информации, не содержащих сведений, составляющих государственную тайну в случае их использования для обеспечения безопасности персональных данных при их обработке в персональных системах персональных данных

03 июня 2009 г. (с) автора16 Категории ПДн и классы ИС ПДн Категория 1 - персональные данные, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных и философских убеждений, состояния здоровья, интимной жизни Категория 2 - персональные данные, позволяющие идентифицировать субъекта персональных данных и получить о нем дополнительную информацию, за исключением персональных данных, относящихся к категории 1 Категория 3 - персональные данные, позволяющие идентифицировать субъекта персональных данных Категория 4 - обезличенные и (или) общедоступные персональные данные

03 июня 2009 г. (с) автора17 Классификация информационных систем персональных данных 1.Анализ данных (оценка критериев): категория обрабатываемых в информационной системе персональных данных; объем обрабатываемых персональных данных (количество субъектов персональных данных, персональные данные которых обрабатываются в информационной системе); заданные оператором характеристики безопасности персональных данных, обрабатываемых в информационной системе; структура информационной системы; наличие подключений информационной системы к сетям связи общего пользования и (или) сетям международного информационного обмена; режим обработки персональных данных; режим разграничения прав доступа пользователей информационной системы; местонахождение технических средств информационной системы. 2.Определение класса типовой/специальной ИСпд. 3.Оформление акта классификации ИСпд.

03 июня 2009 г. (с) автора18 Сертификация и декларирование соответствия ИС ПДн для ИСПДн 1 и 2 классов - обязательная сертификация (аттестация) по требованиям безопасности информации; для ИСПДн 3 класса - декларирование соответствия требованиям безопасности информации или аттестация по требованиям безопасности информации (по выбору оператора) для ИСПДн 4 класса оценка соответствия проводится по решению оператора

03 июня 2009 г. (с) автора19 Подготовка к аттестации, аттестация ИС ПДн по определенному классу Сбор исходных данных о ИС ПДн: Полное и точное наименование объекта информатизации Полное и точное наименование объекта информатизации Характер и уровень конфиденциальности обрабатываемой на объекте информации Характер и уровень конфиденциальности обрабатываемой на объекте информации Перечень помещений, состав комплекса технических средств Перечень помещений, состав комплекса технических средств Прочее Прочее Сбор исходных данных о ИС ПДн: Полное и точное наименование объекта информатизации Полное и точное наименование объекта информатизации Характер и уровень конфиденциальности обрабатываемой на объекте информации Характер и уровень конфиденциальности обрабатываемой на объекте информации Перечень помещений, состав комплекса технических средств Перечень помещений, состав комплекса технических средств Прочее Прочее Разработка комплекта документации для проведения аттестации: -Технический паспорт ОИ; -Схема информационных потоков; -Акт классификации; -Различные инструкции; -Прочее. Разработка комплекта документации для проведения аттестации: -Технический паспорт ОИ; -Схема информационных потоков; -Акт классификации; -Различные инструкции; -Прочее. Определение класса системы ПДн: К-1К-2 К-1К-2 Определение перечня всех необходимых компонент и средств защиты информации ИС на основании требований по защите ИС ПДн определенного класса Отработка замечаний Аттестация объекта информатизации Установка и настройка всех компонентов и средств защиты ИС

03 июня 2009 г. (с) автора20 Веселов Юрий Михайлович, т , Спасибо за внимание!