Приведение в соответствие информационных систем персональных данных с требованиями Федерального закона 152-ФЗ «О персональных данных» на федеральном и региональном уровнях 2010 г. Начальник отдела по информационной безопасности ФГУ ФЦТ Начальник отдела по информационной безопасности ФГУ ФЦТ Григорьев Александр Викторович

С чего все начиналось Конвенция совета Европы О защите физических лиц при автоматизированной обработке данных Страсбург, 28 января 1981 г. изменения от 15 июня 1999 г. Подписана Россией 7 ноября 2001г. Федеральный закон 160-ФЗ О ратификации Конвенции Совета Европы, о защите физических лиц при автоматизированной обработке данных. 19 декабря 2005г. Федеральный Закон 152-ФЗ «О персональных данных» от г. Постановление Правительства России 781 "Положение об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных» Утверждено г. Приказ ФСТЭК, ФСБ и МинИнформсвязи России 55/86/20 г. Москва "Об утверждении Порядка проведения классификации информационных систем персональных данных" от 13 февраля 2008 г. Приказ ФСТЭК, ФСБ и Мининформсвязи России от 13 февраля 2008 г. N 55/86/20 г. Москва "Об утверждении Порядка проведения классификации информационных систем персональных данных"

Статья 3 персональные данные - любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация; Что определяет закон и его цель? Целью настоящего Федерального закона является обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну. оператор - государственный орган, муниципальный орган, юридическое или физическое лицо, организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели и содержание обработки персональных данных;

Статья 19. Меры по обеспечению безопасности персональных данных при их обработке 1. Оператор при обработке персональных данных обязан принимать необходимые организационные и технические меры, в том числе использовать шифровальные (криптографические) средства, для защиты персональных данных N 363-ФЗ от 27 декабря 2009 г. Что обязан сделать Оператор ? Статья 25. Заключительные положения 1. Настоящий Федеральный закон вступает в силу по истечении ста восьмидесяти дней после дня его официального опубликования. (УЖЕ ВСТУПИЛ) 2. После дня вступления в силу ……….обработка персональных данных, ………. осуществляется в соответствии с настоящим Федеральным законом. 3. Информационные системы персональных данных, созданные до дня вступления в силу настоящего Федерального закона, должны быть приведены в соответствие с требованиями настоящего Федерального закона не позднее 1 января года. N363-ФЗ от 27 декабря 2009 г. 4. Операторы, ……………., обязаны направить в уполномоченный орган …………. уведомление, предусмотренное частью 3 статьи 22 настоящего Федерального закона, не позднее 1 января 2008 года.

Что мешало выполнять Закон ? Операторы обязаны направить в уполномоченный орган уведомление, не позднее 1 января 2008 года. Уполномоченный орган Постановление Правительства 878 (упоминание) О некоторых вопросах деятельности Федеральной службы Россвязьохранкультуры 15 декабря 2007 г. Указ Президента 1715 о создании Федеральной службы Роскомнадзор 3 декабря 2008 г. Постановление Правительства 228 Положение о Федеральной службе Роскомнадзор 16 марта 2009 г. Информационные системы должны быть приведены в соответствие 2011 не позднее 1 января 2010 года. 27 июля 2006г. N 363-ФЗ от 27 декабря 2009 г. Нормативно-методические документы ФСТЭК России 14, 15 февраля 2008 г. ФСБ России 21 февраля 2008 г. Теперь ничего не мешает !!!

Уведомление в уполномоченный орган С чего начать? 1) наименование (фамилия, имя, отчество), адрес оператора; 2) цель обработки персональных данных; 3) категории персональных данных; 4) категории субъектов, персональные данные которых обрабатываются; 5) правовое основание обработки персональных данных; 6) перечень действий с персональными данными, общее описание используемых оператором способов обработки персональных данных; 7) описание мер, которые оператор обязуется осуществлять при обработке персональных данных, по обеспечению безопасности персональных данных при их обработке; 8) дата начала обработки персональных данных; 9) срок или условие прекращения обработки персональных данных. Статья ФЗ Меры по обеспечению безопасности определяются КЛАССОМ информационной системы

категория 1 – персональные данные, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных и философских убеждений, состояния здоровья, интимной жизни; категория 2 – персональные данные, позволяющие идентифицировать субъекта персональных данных и получить о нем дополнительную информацию, за исключением персональных данных, относящихся к категории 1; категория 3 – персональные данные, позволяющие идентифицировать субъекта персональных данных; категория 4 – обезличенные и (или) общедоступные персональные данные. Категории персональных данных Приказ 55/86/20

3 менее более категория 4К4 категория 3КЗ К2 категория 2КЗК2К1 категория 1К1 Классы типовых информационных систем обязательная сертификация (аттестация) по требованиям безопасности информации; декларирование соответствия или обязательная сертификация (аттестация) по требованиям безопасности информации (по решению оператора); операторы ИСПДн при проведении мероприятий по обеспечению безопасности ПДн (конфиденциальной информации) при их обработке в ИСПДн 1, 2 классов и распределенных информационных систем 3 класса должны получить лицензию на осуществление деятельности по технической защите конфиденциальной информации Нормативные документы ФСТЭК Приказ 55/86/20 3 менее более категория 4К4 категория 3КЗ К2 категория 2КЗК2К1 категория 1К1

По результатам анализа исходных данных класс специальной информационной системы определяется на основе модели угроз безопасности персональных данных в соответствии с методическими документами, ……. Приказ 55/86/20 основание - Постановление Правительства 781 Класс специальных информационных систем Наша система: специальная, 3 класса, не распределенная Специальные информационные системы – информационные системы, в которых вне зависимости от необходимости обеспечения конфиденциальности персональных данных требуется обеспечить хотя бы одну из характеристик безопасности персональных данных, отличную от конфиденциальности (защищенность от уничтожения, изменения, блокирования, а также иных несанкционированных действий). К специальным информационным системам должны быть отнесены: информационные системы, в которых обрабатываются персональные данные, касающиеся состояния здоровья субъектов персональных данных; информационные системы, в которых предусмотрено принятие на основании исключительно автоматизированной обработки персональных данных решений, порождающих юридические последствия в отношении субъекта персональных данных или иным образом затрагивающих его права и законные интересы.

Итоги работы Роскомнадзора за первую половину 2009 года 205 проверок, из которых 119 – плановые, 86 – внеплановые. Вынесено 293 предписания Составлено 27 протоколов об административных правонарушениях. Судами рассмотрено 14 административных дел и взыскано штрафов на 28 тыс. руб.

Организационно- технические меры и средства защиты Резервное копирование Изолирование участков оперативной памяти Уничтожение остаточных данных Контроль целостности данных и программ Смена паролей Ограничения на использование сетевых сервисов, служб, сетевых протоколов, сценариев Средства блокирования исследования, модификации и несанкционированного запуска Средства предупреждения пользователей о выполнении опасных действий Программные средства администрирования (разграничения полномочий, регистрации и контроля) Программные средства идентификации и аутентификации Программные средства резервного копирования Программные средства ОС Дополнительные программные средства Криптогра- фические средства Средства защиты от ПМВ Другие средства защиты Абонентского шифрования Пакетного шифрования Стеганографии ЭЦП Шифрования паролей VPN- технологии Средства контроля целостности Специальные средства обнаружения вредоносных программ и «лечения» Средства тестирования Утилиты для восстановления информации Средства тестирования сетей и программ Средства обнаружения атак Межсетевые экраны Технические меры защиты Что такое защита информации? Люди, способные ВСЕ ЭТО эксплуатировать!!!

Что делать в первую очередь? Модель угроз безопасности Акт классификации специальной ИСПДн Перечень законодательных требований по обеспечению защиты ПД Рекомендации по выполнению требований законодательства РФ по организационным аспектам обработки и защиты ПД Рекомендации по структуре и составу системы защиты ПД в целом План-график внедрения СЗПДн и финансирование Уведомление Роскомнадзор

Что дальше? Подготовка объекта защиты к вводу СЗИ в действие (организационно-техническая документация) Установка и настройка СЗПДн Проведение обучения персонала АттестацияЛицензирование Анализ результатов, выдача заключения, аттестатов соответствия на объекты информатизации Проведение испытаний Подготовка документов для подачи заявки во ФСТЭК России на получение лицензии

Разработка организационных мер по соблюдению требований законодательства РФ к обеспечению защиты ПДн; Разработка проектов документов, приказов и распоряжений по реализации разработанных организационных мер по защите ПДн. Разработка и согласование решений по организационной структуре, обязанностям и правам пользователей при работе в ИСПДн. Определение подразделений и назначение лиц, ответственных за эксплуатацию средств защиты информации; «Техническое задание на создание СЗПДн» «Пояснительная записка на создание СЗПДн» «Описание технического, программного, информационного обеспечения и технологии обработки (передачи) информации в ИСПДн» «Программа и методика испытаний» «Руководство администратора» «Руководство пользователя» «Инструкция по установке и настройке СЗПДн и ее частей». «Акт предварительных испытаний СЗПДн», «Протокол предварительных испытаний СЗПДн». «Акт приемочных испытаний СЗПДн», «Протокол приемочных испытаний» СЗПДн». Организационно-техническая документация

Что потом?

Наши контакты тел факс