Защита персональных данных 2008 г.

CNews Forum 2008 Информация о компании О компании ReignVox - российская компания, специализирующаяся на разработках в области информационных технологий и безопасности. Создана двумя компаниями - Bell Integrator и РНТ для оказания услуг в области безопасности, защиты персональных данных и реализации инновационных проектов Защита персональных данных 2

CNews Forum 2008 Защита персональных данных Нормативная база Указ Президента РФ от 6 марта 1997 г. 188 "Об утверждении перечня сведений конфиденциального характера"; ФЗ от 19 декабря 2005 г. 160-ФЗ «О ратификации Конвенции Совета Европы «О защите физических лиц при автоматизированной обработке персональных данных»; ФЗ от 27 июля 2006 г. 152-ФЗ «О персональных данных»; Постановление Правительства РФ от 17 ноября 2007 г. 781, утверждающее «Положение об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных»; Защита персональных данных 3

CNews Forum 2008 Нормативная база Совместный приказ от 13 февраля 2008 г. 55/86/20 ФСТЭК, ФСБ, Мининформсвязь, утверждающий «Порядок проведения классификации информационных систем персональных данных»; Постановление Правительства РФ от 15 сентября 2008 г. 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»; Проект ФЗ "О внесении изменений в некоторые законодательные акты Российской Федерации в связи с принятием Федерального закона "О ратификации Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных" и Федерального закона "О персональных данных" Защита персональных данных 4

CNews Forum 2008 Нормативная база Документы ФСТЭК России: «Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных»; «Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных»; «Основные мероприятия по организации и техническому обеспечению безопасности персональных данных, обрабатываемых в информационных системах персональных данных»; «Рекомендации по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных» Защита персональных данных 5

CNews Forum 2008 Нормативная база Документы ФСБ России: «Типовые требования по организации и обеспечению функционирования шифровальных (криптографических) средств, предназначенных для защиты информации, не содержащей сведений, составляющих государственную тайну, в случае их использования для обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных»; Защита персональных данных 6 «Методические рекомендации по обеспечению с помощью криптосредств безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств автоматизации».

CNews Forum 2008 Нормативная база Документы Россвязькомнадзора: Положение о Федеральной службе по надзору в сфере связи и массовых коммуникаций (Постановление Правительства РФ от 2 июня 2008 г. 419 «О федеральной службе по надзору в сфере связи и массовых коммуникаций») Приказ Россвязькомнадзора от 28 марта 2008 г. 154 «Об утверждении положения о ведении реестра операторов, осуществляющих обработку персональных данных» Приказ Россвязькомнадзора от 17 июля 2008 г. 8 «Об утверждении образца формы уведомления об обработке персональных данных» Защита персональных данных 7

CNews Forum 2008 Установленные сроки Статья 25 Федерального закона Российской Федерации от 27 июля 2006 г. N 152-ФЗ О персональных данных "… 3. Информационные системы персональных данных, созданные до дня вступления в силу настоящего Федерального закона, должны быть приведены в соответствие с требованиями настоящего Федерального закона не позднее 1 января 2010 года. 4. Операторы, которые осуществляют обработку персональных данных до дня вступления в силу настоящего Федерального закона и продолжают осуществлять такую обработку после дня его вступления в силу, обязаны направить в уполномоченный орган по защите прав субъектов персональных данных, за исключением случаев, предусмотренных частью 2 статьи 22 настоящего Федерального закона, уведомление, предусмотренное частью 3 статьи 22 настоящего Федерального закона, не позднее 1 января 2008 года." Защита персональных данных 8

CNews Forum 2008 Риски неисполнения требований закона Гражданско-правовые иски со стороны клиентов или работников Репутационные риски Принудительное приостановление или прекращение обработки персональных данных в компании Привлечение компании и (или) ее руководителя к административной или иным видам ответственности Приостановление действия или аннулирование лицензий (при определенных условиях) … Защита персональных данных 9

CNews Forum 2008 Обязанности оператора Защита персональных данных 10 Статья 19 Федерального закона Российской Федерации от 27 июля 2006 г. N 152-ФЗ О персональных данных "1. Оператор при обработке персональных данных обязан принимать необходимые организационные и технические меры, в том числе использовать шифровальные (криптографические) средства, для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных, а также от иных неправомерных действий."

CNews Forum 2008 Действия оператора для выполнения требований закона Уведомление уполномоченного органа по защите прав субъектов персональных данных о своем намерении осуществлять обработку персональных данных. Разработка документов, регламентирующих обработку персональных данных в организации (положение по обработке персональных данных, регламенты, положения по защите персональных данных). Создание системы защиты персональных данных. Выполнение требования по инженерно- технической защите помещений. Аттестация или декларирование соответствия по требованиям безопасности информации. Повышение квалификации сотрудников в области защиты персональных данных Защита персональных данных 11

CNews Forum 2008 Цель классификации «ИСПДн класса КП с уровнем криптографической защиты КЗ» Защита персональных данных 12 Требования к средствам защиты ВЫБОР МЕР И СРЕДСТВ ЗАЩИТЫ КЛАСС СИСТЕМЫ (ФСТЭК + ФСБ)

CNews Forum Защита персональных данных 13 СИСТЕМА ОБРАБОТКИ ПДН С ИСПОЛЬЗОВАНИЕМ СРЕДСТВ АВТОМАТИЗАЦИИ СИСТЕМА ОБРАБОТКИ ПДН БЕЗ ИСПОЛЬЗОВАНИЯ СРЕДСТВ АВТОМАТИЗАЦИИ ИДЕНТИФИКАЦИЯ СИСТЕМ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ ОПРЕДЕЛЕНИЕ ХАРАКТЕРИСТИК ПДН СИСТЕМЫ ИНФОРМАЦИИ ОРГАНИЗАЦИИ ПЕРВИЧНАЯ КЛАССИФИКАЦИЯ СИСТЕМ ОБРАБОТКИ ПДН

CNews Forum 2008 Характеристики безопасности ОСНОВНЫЕ: Конфиденциальность Целостность Доступность ДОПОЛНИТЕЛЬНЫЕ: Неотказуемость Учетность (подконтрольность) Аутентичность (достоверность) Адекватность (соответствие) Защита персональных данных 14

CNews Forum Защита персональных данных 15 СПЕЦИАЛЬНАЯ ИСПДн (ФСТЭК) (ФСТЭК) АВТОМАТИЗИРОВАННАЯ ИНФОРМАЦИОННАЯ СИСТЕМА (ФСБ) (ФСБ) ТИПОВАЯ ИСПДн (ФСТЭК) (ФСТЭК) ОПРЕДЕЛЕНИЕ ТИПА СИСТЕМЫ ОБРАБОТКИ ПДн СИСТЕМА ОБРАБОТКИ ПДн С ИСПОЛЬЗОВАНИЕМ СРЕДСТВ АВТОМАТИЗАЦИИ

CNews Forum 2008 Специальная система 1. Конфиденциальность + ……………. 2. Информационные системы, в которых обрабатываются персональные данные, касающиеся состояния здоровья субъектов персональных данных; Защита персональных данных Информационные системы, в которых предусмотрено принятие на основании исключительно автоматизированной обработки персональных данных решений, порождающих юридические последствия в отношении субъекта персональных данных или иным образом затрагивающих его права и законные интересы.

CNews Forum Защита персональных данных 17 Специальные требования к системе защиты информации ДОКУМЕНТАЛЬНОЕ ОФОРМЛЕНИЕ ОПРЕДЕЛЕНИЕ АКТУАЛЬНЫХ УГРОЗ КЛАССИФИКАЦИЯ ИСПДН Требования ФСТЭК и ФСБ к ИСПДн СПЕЦИАЛЬНАЯ ИСПДн (ФСТЭК) ВЛИЯНИЕ НА БИЗНЕС-ПРОЦЕССЫ МИНИМИЗАЦИЯ ЗАТРАТ

CNews Forum 2008 Система моделей угроз Защита персональных данных 18 Частная/детализированная модель угроз ИСПДн Типовая отраслевая модель угроз Базовая модель угроз

CNews Forum Защита персональных данных 19 ЗАО "Рэйнвокс" , Москва, Старопетровский проезд, 7а Тел:+7 (495) Факс:+7 (495) Спасибо за внимание!