ПРОБЛЕМЫ ОПЕРАТОРОВ ПЕРСОНАЛЬНЫХ ДАННЫХ. НОМАТИВЫ ПРИНЯТЫ, ЧТО ДАЛЬШЕ? ПРОБЛЕМЫ ОПЕРАТОРОВ ПЕРСОНАЛЬНЫХ ДАННЫХ. НОМАТИВЫ ПРИНЯТЫ, ЧТО ДАЛЬШЕ? (требования.

Презентация:



Advertisements
Похожие презентации
ПРОБЛЕМЫ ОПЕРАТОРОВ ПЕРСОНАЛЬНЫХ ДАННЫХ. НОРМАТИВЫ ПРИНЯТЫ, ЧТО ДАЛЬШЕ? ПРОБЛЕМЫ ОПЕРАТОРОВ ПЕРСОНАЛЬНЫХ ДАННЫХ. НОРМАТИВЫ ПРИНЯТЫ, ЧТО ДАЛЬШЕ? (требования.
Advertisements

НОВОЕ В НОРМАТИВНОЙ БАЗЕ В ОБЛАСТИ ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ НОВОЕ В НОРМАТИВНОЙ БАЗЕ В ОБЛАСТИ ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ (требования и комментарии)
Защита персональных данных: основные аспекты. Федеральный закон от 27 июля 2006 г. 152-ФЗ «О персональных данных» Персональные данные (ПДн) Кто? От кого?
Защита персональных данных на базе типовых решений ЭЛВИС-ПЛЮС © ОАО «ЭЛВИС-ПЛЮС», 2008 г.
Текущая ситуация Законодательство, нормативы ФЕДЕРАЛЬНЫЙ ЗАКОН РОССИЙСКОЙ ФЕДЕРАЦИИ ОТ 27 ИЮЛЯ 2006 Г. 152-ФЗ «О ПЕРСОНАЛЬНЫХ ДАННЫХ» ПОСТАНОВЛЕНИЕ ПРАВИТЕЛЬСТВА.
Персональные данные - любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу ( субъекту персональных.
Защита персональных данных Начальник отдела мобилизационной подготовки и защиты информации И.В.Тимохин.
Обеспечение безопасности персональных данных. Проблемы и решения 9 марта 2011 года.
Критерии использования криптографических средств при защите персональных данных Беззубцев Олег Андреевич, советник генерального директора ОАО «ЭЛВИС-ПЛЮС»
М.Ю.Емельянников Заместитель коммерческого директора НИП «ИНФОРМЗАЩИТА» Защита персональных данных: алгоритм для законопослушных банков ИНФОРМАЦИОННАЯ.
Обеспечение безопасности персональных данных. Проблемы и решения 23 сентября 2009 года.
Защита персональных данных работников. Положения о защите персональных данных работников регламентируют Конституция Российской Федерации Конституция Российской.
Оценка соответствия. Аттестация информационных систем персональных данных ООО "МКЦ "АСТА-информ", (351) ,
ЗАЩИТА ПЕРСОНАЛЬНЫХ ДАННЫХ Требования законодательства РФ в области обработки и защиты ПДн. © 2010, ООО «НПО «ОнЛайн Защита». Все права защищены ,
Защита персональных данных 2008 г.. CNews Forum 2008 Информация о компании О компании ReignVox - российская компания, специализирующаяся на разработках.
2009 г. Об обеспечении безопасности персональных данных с использованием шифровальных (криптографических) средств.
» ГБУ СО «СОЦИ» 1 31 января 2011 года Докладчик: Заместитель начальника отдела информационной безопасности ГБУ СО «СОЦИ» Колгин Антон Александрович 14.
Компания «Инфо-Оберег» Дорофеев Владимир Игоревич.
Федеральный закон РФ от 27 июля 2006 года 152-ФЗ «О персональных данных»
2-3 февраля 2010 г. Обеспечение безопасности персональных данных в информационных системах образовательных учреждений Хорев П.Б., РГСУ.
Транксрипт:

ПРОБЛЕМЫ ОПЕРАТОРОВ ПЕРСОНАЛЬНЫХ ДАННЫХ. НОМАТИВЫ ПРИНЯТЫ, ЧТО ДАЛЬШЕ? ПРОБЛЕМЫ ОПЕРАТОРОВ ПЕРСОНАЛЬНЫХ ДАННЫХ. НОМАТИВЫ ПРИНЯТЫ, ЧТО ДАЛЬШЕ? (требования и комментарии) ОАО «ЭЛВИС-ПЛЮС» 2008 год © ОАО «ЭЛВИС-ПЛЮС», 2008 г.,

Материалы, изложенные в данной презентации рассматривают только основные аспекты проблемы безопасности информации и не претендуют на полноту анализа изменений нормативной базы в области защиты персональных данных ВНИМАНИЕ!

Пролог В соответствии с Федеральным законом «О персональ- ных данных» организация или физическое лицо, осуществляющее и/или организующее обработку персональных данных, является оператором персональных данных и обязано обеспечить их защиту. С 1 января 2008 года деятельность операторов считается легализованной при наличии регистрации этих операторов в реестре. До 1 января 2010 года все операторы обязаны обеспечить защиту персональных данных. По оценкам Россвязькомнадзора на сегодняшний день требования Закона касаются более чем 7 млн. операторов ПДн.

Пролог В г.г. ФСТЭК России и ФСБ России во исполнение Постановления Правительства РФ от 17 ноября 2007 г. 781 «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в ИС персональных данных» разработаны и введены в действие ряд нормативных и методических документов в области защиты персональных данных: Порядок проведения классификации ИСПДн 4 документа ФСТЭК России (ДСП) 2 документа ФСБ России

Понятийный аппарат Федеральный закон 152-ФЗ «О персональных данных» Персональные данные (ПДн) субъекту ПДн Персональные данные (ПДн) - любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту ПДн), в том числе: фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация. Оператор персональных данных - Оператор персональных данных - государственный орган, муниципальный орган, юридическое или физическое лицо, организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели и содержание такой обработки. Информационная система персональных данных (ИСПДн) - Информационная система персональных данных (ИСПДн) - ИС, представляющая собой совокупность ПДн, содержащихся в базе данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких ПДн с использованием средств автоматизации или без использования таких средств.

«типовые» «специальные» ИС ПДн делятся на «типовые» (защита только конфиденциальности) и «специальные» (защита конфиденциальности + хотя бы одна характеристика безопасности дополнительно) «Порядок проведения классификации ИС ПДн» (Приказ 55/86/20, п ) обязанприниматьмеры «Оператор обязан принимать организационные и технические меры, для защиты ПДн от НСД, уничтожения, изменения, блокирования, копирования, распространения и иных неправомерных действий» (ФЗ «О персональных данных» ст. 19, ч. 1) Как обеспечить безопасность ПДн? Несогласованность правил классификации ИСПДн необходимостьдля всех ИСПДн только Т.е. Закон (ст. 19) устанавливает необходимость обеспечения для всех ИСПДн не только конфиденциальности, но и других характеристик безопасности, а нормативный документ выделяет ИС, в которых защищается только конфиденциальность Проблема: проведение корректной классификации ИС ПДн и, следовательно, определение обоснованных требований по их защите Отсутствуют критерии категорирования самих ПДн

Категория информации в ИС Требования к защите ГТ КИ КТ ПДн КС СТРХ СТР-КХХХ РД по АСХХХ РД по СВТХХХ РД по МЭХХХ РД по НДВХХХ Требования к МЭ с СКЗИ (ФСБ России)ХХХ Требования к СКЗИ (ФСБ России)ХХХХ Основные мероприятия по защите ПДнХ Рекомендации по защите ПДнХ Общие требования по защите КСХ Пособие по организации защиты КТХ Какие требования выбрать? Несогласованность требований понятиятребования Новые документы вводят новые понятия и новые требования не всегда учитывающие уже действующие Проблема: проведение гармонизации требований по защите с уже используемыми в существующих информационных системах

«чистых» На практике «чистых» ИС, используемых только для обработки ПДн, как правило, не существует. В реальных ИС организаций могут обрабатываться: сведения, относящиеся к коммерческой тайне персональные данные служебная тайна другая информация Для реальных ИС могут использоваться требования РД ФСТЭК России по защите от НСД, СТР-К, ГОСТ Р (для операторов связи), новые требования по защите ПДн, ряд национальных стандартов, ведомственные документы (ЦБ РФ) и др. Какие требования выполнять? Необходимость реализации единого и комплексного подхода к защите ИС Проблема: отсутствие механизма определения совокупных требований к реальным ИС

Класс ИС ПДн Режим обработки Права доступа Требуемые подсистемы защиты ПДн КДIAMСМ СКЗИAVPID&PПЭМИН IVОпределяется Оператором ПДн в зависимости от ущерба от НСД III Однопользов.ХХХХ? Многопользов. РавныеХХХХ? РазныеХХХХ? II Однопользов. = ХХ ?Х Многопользов. Равные = ХХ ?Х Разные= Х ??Х I Однопользов.= Х ? Многопользов. Равные= Х ХХ? Разные= Х ?Х? Какие требования применять? Неопределенность требований Новые документы определяют требования к классам ИС, но для ряда параметров требования не определены Проблема: согласование требований по защите ПДн с уже используемыми в существующих информационных системах

Какие СЗИ применять? Отсутствие прошедших оценку соответствия (сертифицированных) СЗИ проходят процедуру оценки Средства защиты информации, применяемые в информационных системах, в установленном порядке проходят процедуру оценки соответствия». Постановление Правительства РФ от г. 781, ст. 5 новыетребования Новые документы вводят новые требования к СЗИ ПДн Проблема: В настоящее время, как правило, отсутствуют СЗИ, которые формально можно применять для защиты ПДн.

Проблемы аттестации (1) Устаревшая нормативная база аттестации «Оценка соответствия ИСПДн по требованиям безопасности ПДн проводится: для ИСПДн 1 и 2 классов - обязательная сертификация (аттестация) по требованиям безопасности информации, для ИСГЗДн 3 класса - декларирование соответствия или обязательная сертификация (аттестация) по требованиям безопасности информации (по решению оператора)». Основные мероприятия.., ФСТЭК России, 2008 г., п Положение по аттестации объектов информатизации по требованиям безопасности информации (Гостехкомиссия России, 1994 г.); СТР-К (Гостехкомиссия России, 2002 г.) Имеющаяся нормативная база аттестации:

Проблемы аттестации (2) Устаревшая нормативная база аттестации «Наличие на объекте информатизации действующего "Аттестата соответствия" дает право обработки информации с уровнем секретности (конфиденциальности) и на период времени, установленными в "Аттестате соответствия"» Положение по аттестации объектов информатизации по требованиям безопасности информации, Гостехкомиссия России, 1994 г., п. 1.4 Федеральным законом «О персональных данных» не предусматривается получение оператором персональных данных какого-либо разрешения на право их обработки в ИСПДн Проблема: Устаревшая нормативная база аттестации

Итог Или проблемы, требующие решения Как провести корректную классификацию ИСПДн и, следовательно, определить обоснованные требования по их защите (на базе имеющихся критериев) Как гармонизировать требования по защите ПДн с уже используемыми в существующих ИС (на базе анализа соответствия с действующими РД) Как определить совокупные требования к реальным ИС (на базе анализа существующих требований) Какие СЗИ, можно применять для защиты ПДн (использовать существующие СЗИ по согласованию со ФСТЭК России) Как правильно провести аттестацию (декларирование соответствия) ИСПДн (на основе существующих подходов – Положение и СТР-К)

Спасибо за внимание ! , МОСКВА, Зеленоград, Центральный проспект, 11 тел , факс