Федеральная служба по техническому и экспортному контролю (ФСТЭК России) Тема: Федеральный закон 152-ФЗ «О персональных данных». Что нас ждет за порогом ? Ершов Сергей Викторович Управление ФСТЭК России по Приволжскому федеральному округу

История вопроса 1970 г. – в Германии принят первый закон о защите персональных данных; 1973 г. – приняты законы в Швеции; 1974 г. – в Соединенных Штатах; 1978 г. – во Франции

1981 г. – Конвенция Совета Европы «О защите физических лиц при автоматизированной обработке персональных данных» Цель: обеспечение прав и основных свобод человека на неприкосновенность частной жизни и особенно в связи с автоматической обработкой касающихся его персональных данных. Персональные данные – информация, касающаяся конкретного или могущего быть идентифицированным лица («субъекта данных») Страсбург, 28 января 1981 г. подписана Россией 7 ноября 2001 г. ФЗ «О ратификации Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных». от 19 декабря 2005 г. 160-ФЗ

1993 г. – Конституция Российской Федерации Статья Каждый имеет право на неприкосновенность частной жизни, личную и семейную тайну, защиту своей чести и доброго имени. 2.Каждый имеет право на тайну переписки, телефонных переговоров, почтовых, телеграфных и иных сообщений. Статья Сбор, хранение, использование и распространение информации о частной жизни лица без его согласия не допускаются. 2.Органы государственной власти и органы местного самоуправления, их должностные лица обязаны обеспечить каждому возможность ознакомления с документами и материалами, непосредственно затрагивающими его права и свободы, если иное не предусмотрено законом. 12 декабря 1993 г.

1997 г. – Перечень сведений конфиденциального характера o Сведения о фактах, событиях и обстоятельствах частной жизни гражданина, позволяющие идентифицировать его личность (персональные данные), за исключением сведений, подлежащих распространению в средствах массовой информации в установленных федеральными законами случаях. Указ Президента РФ 188 от 6 марта 1997 г.

Актуальность проблемы обеспечения безопасности персональных данных o значительное увеличение правонарушений, связанных с утечками персональных данных в организациях (компаниях); o увеличение тяжести последствий утечки персональных данных; o появление технологий, позволяющих правонарушителям воспользоваться полученными персональными данными; o персональные данные стали объектом торга

ФЗ «О персональных данных» Регулирует отношения, связанные с обработкой персональных данных, осуществляемой: o органами государственной власти; o муниципальными органами; o юридическими лицами; o физическими лицами с использованием средств автоматизации без использования средств автоматизации 152-ФЗ от 27 июля 2006 г.

ФЗ «О персональных данных» Статья 2. Целью закона является обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну. 152-ФЗ от 27 июля 2006 г.

ФЗ «О персональных данных» Законом функции Уполномоченного органа по защите прав субъектов персональных данных возложены на Федеральную службу по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор), находящуюся в ведении Министерства связи и массовых коммуникаций Российской Федерации 152-ФЗ от 27 июля 2006 г.

ФЗ «О персональных данных» Статья Оператор при обработке персональных данных ОБЯЗАН принимать необходимые организационные и технические меры, в т.ч. использовать шифровальные (криптографические) средства, для защиты ПДн от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения ПДн, а также от иных неправомерных действий 363-ФЗ от 27 декабря 2009 г.

ФЗ «О персональных данных» Статья Правительство РФ устанавливает : o требования к обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных (ИСПДн); o требования к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных 152-ФЗ от 27 июля 2006 г.

Положение об обеспечении безопасности персональных данных при их обработке в ИСПДн Постановление Правительства РФ от 17 ноября 2007 г. 781 Требования к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне ИСПДн Постановление Правительства РФ от 6 июля 2008 г. 512

ФЗ «О персональных данных» Статья Контроль и надзор за выполнением требований, установленных Правительством РФ, осуществляется: o Федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности (ФСБ России) o Федеральным органом исполнительной власти, уполномоченным в области противодействия техническим разведкам и технической защиты информации (ФСТЭК России) 152-ФЗ от 27 июля 2006

ФЗ «О персональных данных» Статья Информационные системы персональных данных, созданные до 1 января 2010 года, должны быть приведены в соответствие с требованиями настоящего Федерального закона не позднее 1 января 2011 года. 363-ФЗ от 27 декабря 2009 г.

Нормативно-методические документы ФСТЭК России Порядок проведения классификации ИСПДн* Базовая модель угроз безопасности ПДн при их обработке в ИСПДн (полная версия – дсп) Методика определения актуальных угроз безопасности ПДн при их обработке в ИСПДн Рекомендации по обеспечению безопасности ПДн при их обработке в ИСПДн Основные мероприятия по организации и техническому обеспечению безопасности ПДн, обрабатываемых в ИСПДн * Приказ ФСТЭК, ФСБ и Мининформсвязи России от 13 февраля 2008 г. 55/86/20

Нормативно-методические документы ФСБ России Методические рекомендации по обеспечению с помощью криптографических средств безопасности персональных данных при их обработке в ИСПДн с использованием средств автоматизации. Приказ ФСБ России от 21 февраля 2008 г. 149/ Типовые требования по организации и обеспечению функционирования шифровальных (криптографических) средств, предназначенных для защиты информации, не содержащей сведений, составляющих государственную тайну, в случае их использования для обеспечения безопасности персональных данных при их обработке в ИСПДн. Приказ ФСБ России от 21 февраля 2008 г. 149/6/6-622

проект приказа Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций, ФСБ России, ФСТЭК России «Об утверждении Временного порядка организации взаимодействия по реализации требований законодательства Российской Федерации в области защиты персональных данных». Данный документ предусматривает взаимодействие Служб по трём основным направлениям деятельности: 1. Обмен информацией в области персональных данных; 2. Совместное осуществление мероприятий по контролю (надзору); 3. Обучение и повышение квалификации сотрудников.

«Положение о методах и способах защиты информации в информационных системах персональных данных» (утверждено приказом ФСТЭК России от 5 февраля 2010 года 58)

Утверждено первым заместителем директора ФСТЭК России 5 марта 2010 г. Р Е Ш Е Н И Е В связи с изданием приказа ФСТЭК России от 5 февраля 2010 г. 58 «Об утверждении Положения о методах и способах защиты информации в информационных системах персональных данных» не применять с 15 марта 2010 г. для обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных следующие методические документы ФСТЭК России: Основные мероприятия по организации и техническому обеспечению безопасности персональных данных, обрабатываемых в информационных системах персональных данных, утвержденные заместителем директора ФСТЭК России 15 февраля 2008 г.; Рекомендации по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, утвержденные заместителем директора ФСТЭК России 15 февраля 2008 г.

«Положение о методах и способах защиты информации в информационных системах персональных данных» 1.3. Для выбора и реализации методов и способов защиты информации в информационной системе оператором или уполномоченным лицом может назначаться структурное подразделение или должностное лицо (работник), ответственные за обеспечение безопасности персональных данных. Для выбора и реализации методов и способов защиты информации в информационной системе может привлекаться организация, имеющая оформленную в установленном порядке лицензию на осуществление деятельности по технической защите конфиденциальной информации

«Положение о методах и способах защиты информации в информационных системах персональных данных» 1.4. Выбор и реализация методов и способов защиты информации в информационной системе осуществляются на основе определяемых оператором (уполномоченным лицом) угроз безопасности персональных данных (модели угроз) и в зависимости от класса информационной системы, определенного в соответствии с Порядком проведения классификации информационных систем персональных данных, утвержденным приказом ФСТЭК России, ФСБ России и Мининформсвязи России от 13 февраля 2008 г. 55/86/20. Модель угроз разрабатывается на основе методических документов, утв. в соответствии с пунктом 2 постановления Правительства РФ от 17 ноября 2007 г. 781

«Положение о методах и способах защиты информации в информационных системах персональных данных» 2.1. Методами и способами защиты информации от несанкционированного доступа являются: … использование средств защиты информации, прошедших в установленном порядке процедуру оценки соответствия;

Где найти средства защиты ПДн ? На сайте Центра по лицензированию, сертификации и защите государственной тайны ФСБ России ( ) – 22/143 СКЗИ включены в Перечень средств защиты информации, не содержащей сведений, составляющих государственную тайну (по состоянию на 1 февраля 2010 года). На сайте ФСТЭК России ( – в Государственный реестр сертифицированных средств защиты информации внесено 170/230 СЗИ (ПДн)

Количество сертифицированных средств защиты информации

НОРМАТИВНЫЕ ТРЕБОВАНИЯ К СРЕДСТВАМ ЗАЩИТЫ ПДн В сертификате важно обратить внимание, на соответствие каким документам проведены сертификационные испытания. Для ФСТЭК России это может быть: - руководящие документы (РД) Гостехкомиссии России по защите от несанкционированного доступа (НСД) к информации (для АС, СВТ или МЭ), - РД Гостехкомиссии России по уровню контроля отсутствия недекларированных возможностей (НДВ); - техническое условие или формуляр; - задание по безопасности (по требованиям ГОСТ ИСО/МЭК ).

ДОПОЛНИТЕЛЬНЫЕ ТРЕБОВАНИЯ К СРЕДСТВАМ ЗАЩИТЫ ПДн В сертификате важно также обратить внимание: - на срок действия сертификата; - на какое количество СЗИ выдан сертификат (единичный экземпляр, определённое количество средств, серия)

Федеральный закон Российской Федерации от 8 августа 2001 года 128-ФЗ «О лицензировании отдельных видов деятельности»

Положение о лицензировании деятельности по технической защите конфиденциальной информации Наличие в штате соискателя лицензии специалистов, имеющих высшее профессиональное образование в области технической защиты информации либо высшее или среднее профессиональное (техническое) образование и прошедших переподготовку или повышение квалификации по вопросам технической защиты информации. Постановление Правительства РФ от 15 августа 2006 г. 504

Административный регламент ФСТЭК России по исполнению государственной функции по лицензированию деятельности по технической защите конфиденциальной информации, утвержденный приказом ФСТЭК России от 28 августа 2007 г Административный регламент определяет сроки и последовательность действий сотрудников ФСТЭК России при осуществлении полномочий по лицензированию деятельности по ТЗКИ

Статья 24 ФЗ «О персональных данных» гласит, что лица, виновные в нарушении требований Федерального закона, несут гражданскую, уголовную, административную, дисциплинарную и иную предусмотренную законодательством РФ ответственность

Невыполнение требований закона несёт угрозу не просто информационным ресурсам или интересам отдельных клиентов – возникает угроза для нормального функционирования самого бизнеса. Именно поэтому задача построения защиты персональных данных выходит далеко за рамки полномочий подразделений, отвечающих за IT и информационную безопасность, и все важнейшие решения по обеспечению защиты персональных данных должны приниматься на уровне высшего менеджмента организации.

Благодарю за внимание! Начальник отдела Управления ФСТЭК России по Приволжскому федеральному округу ЕРШОВ Сергей Викторович , Нижний Новгород, пр.Гагарина, д.60, корп.11 (831)