ЗАЩИТА ПЕРСОНАЛЬНЫХ ДАННЫХ в информационных системах операторов связи

Информационные системы персональных данных должны быть приведены в соответствие с требованиями настоящего ФЗ не позднее 1 января 2010 года г.: Конвенция Совета Европы «О защите личности в связи с автоматической обработкой персональных данных» 2005 г.: Государственная Дума России «О ратификации Конвенции Совета Европы» 2006 г.: Федеральный закон 152-ФЗ от г. «О персональных данных» Федеральный закон 152-ФЗ вступил в силу в январе 2007 г. История

Аспекты, касающиеся защиты персональных данных в информационных системах операторов связи 1Правовые 2Организационные 3Физические 4Технические

Угрозы безопасности персональных данных ЦУС Оператор ввода данных (Менеджер) Абонент Угрозы безопасности ПДн Оператор ввода данных (Менеджер) Абонент

Основные ПДн, обрабатываемые операторами связи 1ФИО абонента 2Номер и серия паспорта 3Когда кем и где выдан паспорт 4Место прописки/регистрации 5Место проживания (место установления точки доступа Интернет) 6Домашний телефон 7Сотовый телефон 8Параметры компьютера и установленной операционной системы 9Внутренний или внешний IP-адрес, логин, пароль 10Адрес электронной почты, логин, пароль

Уголовная ответственность Административная ответственность В соответствии с «Трудовым Кодексом РФ» (ст. 90) лица, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных работника, несут ответственность в соответствии с федеральными законами. Виды ответственности за нарушение целостности ПДн Гражданско-правовая ответственность Дисциплинарная ответственность

Меры, необходимые для обеспечения безопасности ПДн 1 Описание защищаемой ИСПДн, предварительная классификация системы 2 Определение угроз безопасности ИСПДн и построение модели угроз 3 Определение класса ИСПДн на основе модели угроз безопасности 4 Предъявление требований к физической и технической защите ИСПДн определённого класса, а также к организационным мерам с учетом угроз 5 Выработка конкретных технических решений на основе технического проектирования с учётом требований безопасности информации 6 Разработка документации для обеспечения технических и организационных мер безопасности 7 Поставка, установка и наладка средств защиты информации на основе технического проекта 8 Аттестационные испытания объекта информатизации для предотвращения утечки ПДн по техническим каналам и несанкционированного доступа к ним 9 Аттестация ИСПДн и защищаемых помещений по требованиям безопасности

Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных Основные мероприятия по организации и техническому обеспечению безопасности персональных данных, обрабатываемых в информационных системах персональных данных Рекомендации по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных Перечень нормативно-методических документов ФСТЭК России в области персональных данных Порядок проведения классификации информационных систем персональных данных 5

Алгоритм создания системы защиты персональных данных 1 Определить класс информационной системы обработки ПДн 2 Определить требования безопасности для ИСПДн 3 Установить СЗИ в ИСПДн и настроить СЗПДн 4 Произвести испытания СЗПДн

Классификация информационных систем обработки персональных данных Категория 1 менее –100 тыс.свыше100 тыс. К1 К3К2К1 К3 К2 К4 ИС, для которых нарушения могут привести к значительным негативным последствиям для субъектов ПД ИС, для которых нарушения могут привести к негативным последствиям для субъектов ПД ИС, для которых нарушения могут привести к незначительным негативным последствиям для субъектов ПД ИС, для которых нарушения не приводят к негативным последствиям для субъектов ПД 2 3 4

Классы информационных систем К1 К2 К3 К4 Класс 1 Класс 2 Класс 3 Класс 4 ПД, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных и философских убеждений, состояния здоровья, интимной жизни ПД, позволяющие идентифицировать субъекта ПД и получить о нем дополнительную информацию, за исключением ПД, относящихся к категории 1 персональные данные, позволяющие идентифицировать субъекта ПД обезличенные и (или) общедоступные ПД

Необходимость аттестации ИСПДн К1 и К2 К3 К4 обязательная сертификация (аттестация) по требованиям безопасности информации декларирование соответствия или обязательная сертификация (аттестация) по требованиям безопасности информации (по решению оператора) оценка соответствия проводится по решению оператора

Получение лицензий ФЗ-128 от 8 августа 2001 г. «О лицензировании отдельных видов деятельности» Постановление Правительства Российской Федерации от 16 августа 2006 г. 504 «О лицензировании деятельности по технической защите конфиденциальной информации» должны получить В соответствии со следующими положениями: Лицензию на осуществление деятельности по технической защите конфиденциальной информации операторы ИСПДн 1, 2 классов и распределенных ИСПДн 3 класса Все средства защиты информации в ИСПДн должны быть сертифицированы ФСТЭК.

Осущетсвление криптографических операции с ПДн требуют получения соответствующих лицензий ФСБ: Получение лицензий Лицензия на распространение шифровальных (криптографических) средств Лицензия на техническое обслуживание шифровальных (криптографических) средств Лицензия на разработку, производство шифровальных (криптографических) средств, защищенных с использованием шифровальных (криптографических) средств информационных и телекоммуникационных систем Криптосредства иностранного производства не рассматриваются в качестве криптосредств, не являются сертифицированными средствами защиты информации и определяются как средства кодирования.

Затраты на осуществление мероприятий по защите персональных данных Наименование работ 1 Сроки выполнения работ Процент от общей стоимости работ 2 недели10 % 1 месяц10 % 1 месяц10 % 1 месяц10 % Обследование ИСПДн и подготовка отчёта Моделирование угроз безопасности ИСПДн и классификация ИСПДн Установка и настройка сертифицированных средств защиты информации Разработка пакета организационно-распорядительных документов месяц40 % Работы по аттестации 6 2 месяца20 % Работы по получению лицензий

ВОПРОСЫ ?