«Научно-Проектная Компания «СпецПроект» ОБЩЕСТВО С ОГРАНИЧЕННОЙ ОТВЕТСТВЕННОСТЬЮ «Научно-Проектная Компания «СпецПроект» 195197, Санкт-Петербург, ул. Жукова, - презентация

1 «Научно-Проектная Компания «СпецПроект» ОБЩЕСТВО С ОГРАНИЧЕННОЙ ОТВЕТСТВЕННОСТЬЮ «Научно-Проектная Компания «СпецПроект» , Санкт-Петербург, ул. Жукова, д. 18, тел./факс: (812) Заместитель Генерального директора ДАНИЛОВ Сергей Владимирович

2 Основные виды деятельности ООО «НПК «СпецПроект»: 2 подготовка предприятий к созданию условий для работы с государственной тайной, совершенствование существующей системы защиты государственной тайны, а также оказание помощи в ликвидации режимно-секретного подразделения; оказание услуг в области защиты государственной тайны сторонним организациям, не имеющим в своей структуре режимно-секретных подразделений; осуществление деятельности по технической защите конфиденциальной информации, в том числе и персональных данных; осуществление деятельности в области информационных технологий (IT- технологий); деятельность по криптографической защите информации, в том числе распространение криптографических средств; поставка техники и материалов для оборудования режимных помещений; организация обучения руководителей предприятий - соискателей лицензии и лицензиатов на курсах повышения квалификации в уполномоченном учебном учреждении, с освобождением их от государственной аттестации, обучение на курсах повышения квалификации специалистов режимно-секретных подразделений; организация и проведение целевых семинаров по защите государственной тайны, противодействия иностранным техническим разведкам и технической защите информации, защите коммерческой тайны и персональных данных. подготовка предприятий к созданию условий для работы с государственной тайной, совершенствование существующей системы защиты государственной тайны, а также оказание помощи в ликвидации режимно-секретного подразделения; оказание услуг в области защиты государственной тайны сторонним организациям, не имеющим в своей структуре режимно-секретных подразделений; осуществление деятельности по технической защите конфиденциальной информации, в том числе и персональных данных; осуществление деятельности в области информационных технологий (IT- технологий); деятельность по криптографической защите информации, в том числе распространение криптографических средств; поставка техники и материалов для оборудования режимных помещений; организация обучения руководителей предприятий - соискателей лицензии и лицензиатов на курсах повышения квалификации в уполномоченном учебном учреждении, с освобождением их от государственной аттестации, обучение на курсах повышения квалификации специалистов режимно-секретных подразделений; организация и проведение целевых семинаров по защите государственной тайны, противодействия иностранным техническим разведкам и технической защите информации, защите коммерческой тайны и персональных данных. Научно-Проектная Компания "СпецПроект". Защита персональных данных , Санкт-Петербург, ул. Жукова, д. 18, тел./факс: (812)

3 Персональные данные Персональные данные - любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация 3 Научно-Проектная Компания "СпецПроект". Защита персональных данных , Санкт-Петербург, ул. Жукова, д. 18, тел./факс: (812)

4 Примеры ПДн У нифицированная форма учета кадров Т 2: фамилия, имя, отчество; дата и место рождения; дата рождения; гражданство; номер страхового свидетельства; ИНН; знание иностранных языков; данные об образовании (номер, серия дипломов, год окончания); данные о приобретенных специальностях семейное положение; данные о членах семьи (степень родства, ФИО, год рождения, паспортные данные, включая прописку и место рождения); фактическое место проживания; контактная информация; данные о военной обязанности; данные о текущей трудовой деятельности (дата начала трудовой деятельности, кадровые перемещения, оклады и их изменения, сведения о поощрениях, данные о повышении квалификации и т.п.). У нифицированная форма учета кадров Т 2: фамилия, имя, отчество; дата и место рождения; дата рождения; гражданство; номер страхового свидетельства; ИНН; знание иностранных языков; данные об образовании (номер, серия дипломов, год окончания); данные о приобретенных специальностях семейное положение; данные о членах семьи (степень родства, ФИО, год рождения, паспортные данные, включая прописку и место рождения); фактическое место проживания; контактная информация; данные о военной обязанности; данные о текущей трудовой деятельности (дата начала трудовой деятельности, кадровые перемещения, оклады и их изменения, сведения о поощрениях, данные о повышении квалификации и т.п.). 4 Научно-Проектная Компания "СпецПроект". Защита персональных данных , Санкт-Петербург, ул. Жукова, д. 18, тел./факс: (812)

5 Биометрические ПДн Биометрические ПДн – это сведения, которые характеризуют физиологические особенности человека и на основе которых можно установить его личность. Биометрические ПДн могут обрабатываться только при наличии согласия в письменной форме субъекта ПДн. Обработка биометрических ПДн без согласия субъекта ПДн может осуществляться в связи с осуществлением правосудия, а также в случаях, предусмотренных законодательством РФ о безопасности, об оперативно-розыскной деятельности, о государственной службе, о порядке выезда из РФ и въезда в РФ, уголовно-исполнительным законодательством. 5 Научно-Проектная Компания "СпецПроект". Защита персональных данных , Санкт-Петербург, ул. Жукова, д. 18, тел./факс: (812)

6 ИСПДн представляют собой совокупность информационных и программно-аппаратных элементов, основными из которых являются: ПДн, содержащиеся в базах данных, как совокупность информации и ее источников, используемых в информационных системах; информационные технологии, как совокупность приемов, способов и методов применения средств вычислительной техники при обработке ПДн; технические средства, осуществляющие обработку ПДн, под которыми понимаются средства вычислительной техники, информационно- вычислительные комплексы и сети, средства и системы передачи, приема и обработки ПДн (средства и системы звукозаписи, звукоусиления, звуковоспроизведения, переговорные и телевизионные устройства, средства изготовления, тиражирования документов и другие технические средства обработки речевой, графической, видео- и буквенно-цифровой информации); 6 Научно-Проектная Компания "СпецПроект". Защита персональных данных , Санкт-Петербург, ул. Жукова, д. 18, тел./факс: (812)

7 ИСПДн представляют собой совокупность информационных и программно-аппаратных элементов, основными из которых являются (продолжение): ИСПДн представляют собой совокупность информационных и программно-аппаратных элементов, основными из которых являются (продолжение): средства защиты информации; вспомогательные технические средства и системы, к которым относятся технические средства и системы, их коммуникации, не предназначенные для обработки ПДН, но размещенные в помещениях, в которых расположены ИСПДН, их технические средства (различного рода телефонные средства и системы, средства вычислительной техники, средства и системы передачи данных в системе радиосвязи, средства и системы охранной и пожарной сигнализации, оповещения и сигнализации, контрольно-измерительная аппаратура, средства и системы кондиционирования, проводной радиотрансляционной сети и приема программ радиовещания и телевидения, электрочасофикации, средства оргтехники). вспомогательные технические средства и системы, к которым относятся технические средства и системы, их коммуникации, не предназначенные для обработки ПДН, но размещенные в помещениях, в которых расположены ИСПДН, их технические средства (различного рода телефонные средства и системы, средства вычислительной техники, средства и системы передачи данных в системе радиосвязи, средства и системы охранной и пожарной сигнализации, оповещения и сигнализации, контрольно-измерительная аппаратура, средства и системы кондиционирования, проводной радиотрансляционной сети и приема программ радиовещания и телевидения, электрочасофикации, средства оргтехники). программные средства (операционные системы, системы управления базами данных и т.п.); 7 Научно-Проектная Компания "СпецПроект". Защита персональных данных , Санкт-Петербург, ул. Жукова, д. 18, тел./факс: (812)

8 Конвенция Совета Европы "О защите физических лиц при автоматизированной обработке персональных данных Страсбург, 28 января 1981 года Для целей настоящей Конвенции: a) «персональные данные» означают любую информацию об определенном или поддающемся определению физическом лице (субъект данных); b) «автоматизированная база данных» означает любой набор данных, подвергающихся автоматизированной обработке; c) «автоматизированная обработка» включает в себя следующие операции, осуществляемые полностью или частично с помощью автоматизированных средств: хранение данных, осуществление логических и/или арифметических операций с этими данными, их изменение, уничтожение, поиск или распространение … Для целей настоящей Конвенции: a) «персональные данные» означают любую информацию об определенном или поддающемся определению физическом лице (субъект данных); b) «автоматизированная база данных» означает любой набор данных, подвергающихся автоматизированной обработке; c) «автоматизированная обработка» включает в себя следующие операции, осуществляемые полностью или частично с помощью автоматизированных средств: хранение данных, осуществление логических и/или арифметических операций с этими данными, их изменение, уничтожение, поиск или распространение … 8 Научно-Проектная Компания "СпецПроект". Защита персональных данных , Санкт-Петербург, ул. Жукова, д. 18, тел./факс: (812)

9 Статья Каждый имеет право на свободу и личную неприкосновенность. Статья Каждый имеет право на свободу и личную неприкосновенность. Статья Каждый имеет право на неприкосновенность частной жизни, личную и семейную тайну, защиту своей чести и доброго имени. Статья Каждый имеет право на неприкосновенность частной жизни, личную и семейную тайну, защиту своей чести и доброго имени. Статья Сбор, хранение, использование и распространение информации о частной жизни лица без его согласия не допускаются. Статья Сбор, хранение, использование и распространение информации о частной жизни лица без его согласия не допускаются. Выдержки из статей Конституции 9 Научно-Проектная Компания "СпецПроект". Защита персональных данных , Санкт-Петербург, ул. Жукова, д. 18, тел./факс: (812)

10 Законы РФ Международные договоры Международные договоры Конвенция Совета Е вропы 1981 Конвенция Совета Е вропы ФЗ AP ФЗ AP-166 Постановления правительства Постановления правительства Приказы и нормативные документы Приказы и нормативные документы ФСБ ФСТЭК Общий приказ Уполномоченный орган Уполномоченный орган Роскомнадзор 10 Научно-Проектная Компания "СпецПроект". Защита персональных данных , Санкт-Петербург, ул. Жукова, д. 18, тел./факс: (812)

11 Основные принципы обработки персональных данных Оператор персональных данных определяет цели их обработки в соответствии со своими полномочиями Объем и характер обрабатываемых персональных данных должен соответствовать целям их обработки Недопустимо объединять созданные для разных целей персональные данные (например, в одну базу данных) Персональные данные подлежат уничтожению по достижении целей (утраты необходимости) их обработки 11 Научно-Проектная Компания "СпецПроект". Защита персональных данных , Санкт-Петербург, ул. Жукова, д. 18, тел./факс: (812)

12 При обработке персональных данных в информационной системе должно быть обеспечено: При обработке персональных данных в информационной системе должно быть обеспечено: а) проведение мероприятий, направленных на предотвращение несанкционированного доступа к персональным данным и (или) передачи их лицам, не имеющим права доступа к такой информации; а) проведение мероприятий, направленных на предотвращение несанкционированного доступа к персональным данным и (или) передачи их лицам, не имеющим права доступа к такой информации; б) своевременное обнаружение фактов несанкционированного доступа к персональным данным; б) своевременное обнаружение фактов несанкционированного доступа к персональным данным; в) недопущение воздействия на технические средства автоматизированной обработки персональных данных, в результате которого может быть нарушено их функционирование; г) возможность незамедлительного восстановления персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним; д) постоянный контроль за обеспечением уровня защищенности персональных данных. 12 Научно-Проектная Компания "СпецПроект". Защита персональных данных , Санкт-Петербург, ул. Жукова, д. 18, тел./факс: (812)

13 Рекомендованные этапы создания систем защиты персональных данных: предпроектная стадия, включающая предпроектное обследование ИСПДн, разработку технического (частного технического) задания на ее создание; стадия проектирования (разработки проектов) и реализации ИСПДн, включающая разработку СЗПДн в составе ИСПДн; стадия проектирования (разработки проектов) и реализации ИСПДн, включающая разработку СЗПДн в составе ИСПДн; стадия ввода в действие СЗПДн, включающая опытную эксплуатацию и приемосдаточные испытания средств защиты информации, а также оценку соответствия ИСПДн требованиям безопасности. стадия ввода в действие СЗПДн, включающая опытную эксплуатацию и приемосдаточные испытания средств защиты информации, а также оценку соответствия ИСПДн требованиям безопасности. 13 Научно-Проектная Компания "СпецПроект". Защита персональных данных , Санкт-Петербург, ул. Жукова, д. 18, тел./факс: (812)

14 Обеспечение безопасности персональных данных при их обработке в ИСПДн должно предусматривать: оценку обстановки; обоснование требований по обеспечению безопасности ПДн и формулирование задач их защиты; обоснование требований по обеспечению безопасности ПДн и формулирование задач их защиты; разработку замысла обеспечения безопасности ПДн; выбор целесообразных способов (мер и средств) защиты ПДн в соответствии с задачами защиты; решение вопросов управления обеспечением безопасности ПДн в динамике изменения обстановки и контроля эффективности защиты; обеспечение реализации принятого замысла защиты; 14 Научно-Проектная Компания "СпецПроект". Защита персональных данных , Санкт-Петербург, ул. Жукова, д. 18, тел./факс: (812)

15 Обеспечение безопасности персональных данных при их обработке в ИСПДн должно предусматривать: планирование мероприятий по защите ПДн; организацию и проведение работ по созданию системы защиты персональных данных в рамках разработки (модернизации) ИСПДн, разработка и развертывание СЗПДн или ее элементов в ИСПДн, решение основных задач взаимодействия, определение их задач и функций на различных стадиях создания и эксплуатации информационных систем; разработку документов, регламентирующих вопросы организации обеспечения безопасности ПДн и эксплуатации СЗПДн в ИСПДн; развертывание и ввод в опытную эксплуатацию СЗПДн в информационных системах персональных данных; доработку СЗПДн по результатам опытной эксплуатации. 15 Научно-Проектная Компания "СпецПроект". Защита персональных данных , Санкт-Петербург, ул. Жукова, д. 18, тел./факс: (812)

16 Классификация угроз Характеристики ИСПДн, обуславливающие возникновение угроз б езопасности Категория обрабатываемых ПДн Объем обрабатываемых ПДн Структура ИСПДн Наличие подключения ИСПДн к сетям связи общего пользования и (или) сетям международного инф. обмена Характеристики подсистемы безопасности ПДн Режимы обработки ПДн Режимы разграничения прав доступа пользователей ИСПДн Местонахождение и условия размещения технических средств ИСПДн 16 Научно-Проектная Компания "СпецПроект". Защита персональных данных , Санкт-Петербург, ул. Жукова, д. 18, тел./факс: (812)

17 По наличию права постоянного или разового доступа в контролируемую зону ИСПДн нарушители подразделяются на два типа: По наличию права постоянного или разового доступа в контролируемую зону ИСПДн нарушители подразделяются на два типа: нарушители, не имеющие доступа к ИСПДн, реализующие угрозы из внешних сетей связи общего пользования и (или) сетей международного информационного обмена, – внешние нарушители нарушители, не имеющие доступа к ИСПДн, реализующие угрозы из внешних сетей связи общего пользования и (или) сетей международного информационного обмена, – внешние нарушители нарушители, имеющие доступ к ИСПДн, включая пользователей ИСПДн, реализующие угрозы непосредственно в ИСПДн, – внутренние нарушители нарушители, имеющие доступ к ИСПДн, включая пользователей ИСПДн, реализующие угрозы непосредственно в ИСПДн, – внутренние нарушители 17 Научно-Проектная Компания "СпецПроект". Защита персональных данных , Санкт-Петербург, ул. Жукова, д. 18, тел./факс: (812)

18 Пример модели обобщенных угроз Источник Описание возможных угроз Нарушаемое свойство Мотив (для антропогенных источников) Вектор угрозы Сотрудник (инсайдер) Логический доступ к информации Непреднамеренн ые действия Конфи- денциальность Непреднамеренная передача конфиденциальной информации третьим лицам Непреднамеренное размещение информации конфиденциального характера на публичных ресурсах Стороннее лицо Физический доступ к серверному оборудованию и носителям Преднамеренные действия преступного характера Доступность Кража носителей информации и компьютеров из зоны хранения внешним злоумышленником Вандализм со стороны внешних злоумышленников 18 Научно-Проектная Компания "СпецПроект". Защита персональных данных , Санкт-Петербург, ул. Жукова, д. 18, тел./факс: (812)

19 19 Научно-Проектная Компания "СпецПроект". Защита персональных данных , Санкт-Петербург, ул. Жукова, д. 18, тел./факс: (812)

20 20 Рекомендованные этапы создания систем защиты персональных данных: предпроектная стадия, включающая предпроектное обследование ИСПДн, разработку технического (частного технического) задания на ее создание; стадия проектирования (разработки проектов) и реализации ИСПДн, включающая разработку СЗПДн в составе ИСПДн; стадия ввода в действие СЗПДн, включающая опытную эксплуатацию и приемосдаточные испытания средств защиты информации, а также оценку соответствия ИСПДн требованиям безопасности предпроектная стадия, включающая предпроектное обследование ИСПДн, разработку технического (частного технического) задания на ее создание; стадия проектирования (разработки проектов) и реализации ИСПДн, включающая разработку СЗПДн в составе ИСПДн; стадия ввода в действие СЗПДн, включающая опытную эксплуатацию и приемосдаточные испытания средств защиты информации, а также оценку соответствия ИСПДн требованиям безопасности Научно-Проектная Компания "СпецПроект". Защита персональных данных , Санкт-Петербург, ул. Жукова, д. 18, тел./факс: (812)

21 21 На этапе предпроектного обследования рекомендуются следующие мероприятия: устанавливается необходимость обработки данных в ИСПДн; определяется перечень ПДн, подлежащих защите от несанкционированного доступа; определяются условия расположения ИСПДн относительно границ контролируемой зоны (КЗ); определяются конфигурация и топология ИСПДн в целом и ее отдельных компонент, физические, функциональные и технологические связи как внутри этих систем, так и с другими системами различного уровня и назначения; устанавливается необходимость обработки данных в ИСПДн; определяется перечень ПДн, подлежащих защите от несанкционированного доступа; определяются условия расположения ИСПДн относительно границ контролируемой зоны (КЗ); определяются конфигурация и топология ИСПДн в целом и ее отдельных компонент, физические, функциональные и технологические связи как внутри этих систем, так и с другими системами различного уровня и назначения; Предпроектное обследование Научно-Проектная Компания "СпецПроект". Защита персональных данных , Санкт-Петербург, ул. Жукова, д. 18, тел./факс: (812)

22 22 определяются технические средства и системы, предполагаемые к использованию в разрабатываемой ИСПДн, условия их расположения, общесистемные и прикладные программные средства, имеющиеся и предлагаемые к разработке; определяются режимы обработки ПДн в ИСПДн в целом и в отдельных компонентах; определяется класс ИСПДн; уточняется степень участия персонала в обработке данных, характер их взаимодействия между собой; определяются (уточняются) угрозы безопасности ПДн в конкретных условиях функционирования (разработка частной модели угроз). определяются технические средства и системы, предполагаемые к использованию в разрабатываемой ИСПДн, условия их расположения, общесистемные и прикладные программные средства, имеющиеся и предлагаемые к разработке; определяются режимы обработки ПДн в ИСПДн в целом и в отдельных компонентах; определяется класс ИСПДн; уточняется степень участия персонала в обработке данных, характер их взаимодействия между собой; определяются (уточняются) угрозы безопасности ПДн в конкретных условиях функционирования (разработка частной модели угроз). Научно-Проектная Компания "СпецПроект". Защита персональных данных , Санкт-Петербург, ул. Жукова, д. 18, тел./факс: (812)

23 23 По результатам предпроектного обследования с учетом установленного класса ИСПДн задаются конкретные требования по обеспечению безопасности данных, включаемые в техническое (частное техническое) задание на разработку системы защиты. Техническое (частное техническое) задание на разработку СЗПДн должно содержать: По результатам предпроектного обследования с учетом установленного класса ИСПДн задаются конкретные требования по обеспечению безопасности данных, включаемые в техническое (частное техническое) задание на разработку системы защиты. Техническое (частное техническое) задание на разработку СЗПДн должно содержать: Разработка технического задания обоснование разработки СЗПДн; исходные данные создаваемой (модернизируемой) ИСПДн в техническом, программном, информационном и организационном аспектах; класс ИСПДн; обоснование разработки СЗПДн; исходные данные создаваемой (модернизируемой) ИСПДн в техническом, программном, информационном и организационном аспектах; класс ИСПДн; Научно-Проектная Компания "СпецПроект". Защита персональных данных , Санкт-Петербург, ул. Жукова, д. 18, тел./факс: (812)

24 24 ссылку на нормативные документы, с учетом которых будет разрабатываться СЗПДн и приниматься в эксплуатацию информационная система; конкретизацию мероприятий и требований к СЗПДн; перечень предполагаемых к использованию сертифицированных средств защиты информации; обоснование проведения разработок собственных средств защиты информации при невозможности или нецелесообразности использования имеющихся на рынке сертифицированных средств защиты информации; состав, содержание и сроки проведения работ по этапам разработки и внедрения СЗПДн. ссылку на нормативные документы, с учетом которых будет разрабатываться СЗПДн и приниматься в эксплуатацию информационная система; конкретизацию мероприятий и требований к СЗПДн; перечень предполагаемых к использованию сертифицированных средств защиты информации; обоснование проведения разработок собственных средств защиты информации при невозможности или нецелесообразности использования имеющихся на рынке сертифицированных средств защиты информации; состав, содержание и сроки проведения работ по этапам разработки и внедрения СЗПДн. Научно-Проектная Компания "СпецПроект". Защита персональных данных , Санкт-Петербург, ул. Жукова, д. 18, тел./факс: (812)

25 25 На стадии проектирования и создания ИСПДн (СЗПДн) проводятся следующие мероприятия: Проектирование системы защиты персональных данных разработка задания и проекта на строительные, строительно- монтажные работы (или реконструкцию) ИСПДн в соответствии с требованиями технического (частного технического) задания на разработку СЗПДн; разработка раздела технического проекта на ИСПДн в части защиты информации; строительно-монтажные работы в соответствии с проектной документацией; использование серийно выпускаемых технических средств обработки, передачи и хранения информации; разработка мероприятий по защите информации в соответствии с предъявляемыми требованиями; разработка задания и проекта на строительные, строительно- монтажные работы (или реконструкцию) ИСПДн в соответствии с требованиями технического (частного технического) задания на разработку СЗПДн; разработка раздела технического проекта на ИСПДн в части защиты информации; строительно-монтажные работы в соответствии с проектной документацией; использование серийно выпускаемых технических средств обработки, передачи и хранения информации; разработка мероприятий по защите информации в соответствии с предъявляемыми требованиями; Научно-Проектная Компания "СпецПроект". Защита персональных данных , Санкт-Петербург, ул. Жукова, д. 18, тел./факс: (812)

26 26 использование сертифицированных технических, программных и программно-технических средств защиты информации и их установка; сертификация программных средств защиты информации по требованиям безопасности данных в случае, когда на рынке отсутствуют требуемые сертифицированные средства защиты информации; разработка и реализация разрешительной системы доступа пользователей к обрабатываемой в ИСПДн информации; определение подразделений и назначение лиц, ответственных за эксплуатацию средств защиты информации, с их обучением по направлению обеспечения безопасности ПДн; разработка эксплуатационной документации на ИСПДн и средства защиты информации, а также организационно-распорядительной документации по защите информации (приказов, инструкций и других документов); выполнение других мероприятий, характерных для конкретных ИСПДн и направлений обеспечения безопасности персональных данных. использование сертифицированных технических, программных и программно-технических средств защиты информации и их установка; сертификация программных средств защиты информации по требованиям безопасности данных в случае, когда на рынке отсутствуют требуемые сертифицированные средства защиты информации; разработка и реализация разрешительной системы доступа пользователей к обрабатываемой в ИСПДн информации; определение подразделений и назначение лиц, ответственных за эксплуатацию средств защиты информации, с их обучением по направлению обеспечения безопасности ПДн; разработка эксплуатационной документации на ИСПДн и средства защиты информации, а также организационно-распорядительной документации по защите информации (приказов, инструкций и других документов); выполнение других мероприятий, характерных для конкретных ИСПДн и направлений обеспечения безопасности персональных данных. Научно-Проектная Компания "СпецПроект". Защита персональных данных , Санкт-Петербург, ул. Жукова, д. 18, тел./факс: (812)

27 27 Научно-Проектная Компания "СпецПроект". Защита персональных данных , Санкт-Петербург, ул. Жукова, д. 18, тел./факс: (812)

28 В соответствии с Постановлением Правительства РФ от 17 ноября 2007 г. 781 «Положение об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных» технические и программные средства, используемые для обработки данных в ИСПДн, должны в установленном порядке проходить процедуру оценки соответствия, включая сертификацию на соответствие требованиям по безопасности информации. Аттестация ИСПДн заказчика по требованиям безопасности информации предшествует началу обработки подлежащей защите информации и вызвана необходимостью официального подтверждения эффективности комплекса используемых в ИСПДн мер и средств защиты данных. Аттестация ИСПДн заказчика по требованиям безопасности информации предшествует началу обработки подлежащей защите информации и вызвана необходимостью официального подтверждения эффективности комплекса используемых в ИСПДн мер и средств защиты данных. 28 Научно-Проектная Компания "СпецПроект". Защита персональных данных , Санкт-Петербург, ул. Жукова, д. 18, тел./факс: (812)

29 29 Аттестационные испытания ИСПДн предполагают проведение следующих проверок: проверка состояния технологического процесса автоматизированной обработки персональных данных в ИСПДн; проверка ИСПДн на соответствие организационно-техническим требованиям по защите информации; испытания ИСПДн на соответствие требованиям по защите информации от несанкционированного доступа. Аттестационные испытания ИСПДн предполагают проведение следующих проверок: проверка состояния технологического процесса автоматизированной обработки персональных данных в ИСПДн; проверка ИСПДн на соответствие организационно-техническим требованиям по защите информации; испытания ИСПДн на соответствие требованиям по защите информации от несанкционированного доступа. Результатом этих работ являются: Протокол аттестационных испытаний; Заключение по результатам аттестационных испытаний; Аттестат соответствия на ИСПДн (выдается в случае положительного Заключения); Акт о переводе СЗПДн в промышленную эксплуатацию (в случае наличия положительного заключения по результатам аттестационных испытаний ИСПДн). Результатом этих работ являются: Протокол аттестационных испытаний; Заключение по результатам аттестационных испытаний; Аттестат соответствия на ИСПДн (выдается в случае положительного Заключения); Акт о переводе СЗПДн в промышленную эксплуатацию (в случае наличия положительного заключения по результатам аттестационных испытаний ИСПДн). Научно-Проектная Компания "СпецПроект". Защита персональных данных , Санкт-Петербург, ул. Жукова, д. 18, тел./факс: (812)

30 Результаты оценки соответствия (сертификации) и тематических исследований средств защиты информации, предназначенных для обеспечения безопасности персональных данных при их обработке в информационных системах, оцениваются в ходе экспертизы, осуществляемой Федеральной службой по техническому и экспортному контролю и Федеральной службой безопасности 30 Научно-Проектная Компания "СпецПроект". Защита персональных данных , Санкт-Петербург, ул. Жукова, д. 18, тел./факс: (812)

31 Статья 24 Закона 152-ФЗ: «Лица, виновные в нарушении требований настоящего Федерального закона, несут гражданскую, уголовную, административную, дисциплинарную и иную предусмотренную законодательством Российской Федерации ответственность» Статья 24 Закона 152-ФЗ: «Лица, виновные в нарушении требований настоящего Федерального закона, несут гражданскую, уголовную, административную, дисциплинарную и иную предусмотренную законодательством Российской Федерации ответственность» Неисполнение требований Закона "О персональных данных" влечет для операторов риски следующего характера: Гражданские иски со стороны клиентов или работников. Приостановление или прекращение обработки персональных данных в компании (приостановление деятельности). Привлечение компании и ее руководителей к административной, уголовной, гражданской, дисциплинарной и иным видам ответственности. Приостановление действия или аннулирование лицензий на основной вид деятельности компании. Ущерб деловой репутации. Вероятность недобросовестной конкуренции (приостановление деятельности компании с подачи конкурентов при имеющихся нарушениях правил защиты персональных данных). Неисполнение требований Закона "О персональных данных" влечет для операторов риски следующего характера: Гражданские иски со стороны клиентов или работников. Приостановление или прекращение обработки персональных данных в компании (приостановление деятельности). Привлечение компании и ее руководителей к административной, уголовной, гражданской, дисциплинарной и иным видам ответственности. Приостановление действия или аннулирование лицензий на основной вид деятельности компании. Ущерб деловой репутации. Вероятность недобросовестной конкуренции (приостановление деятельности компании с подачи конкурентов при имеющихся нарушениях правил защиты персональных данных). 31 Научно-Проектная Компания "СпецПроект". Защита персональных данных , Санкт-Петербург, ул. Жукова, д. 18, тел./факс: (812)

32 Кодекс об Административных Правонарушениях (КоАП) «…КоАП РФ. Статья Нарушение установленного законом «О персональных данных» порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных) Нарушение установленного законом «О персональных данных» порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных) – влечет предупреждение или наложение административного штрафа…» «…КоАП РФ. Статья Разглашение информации с ограниченным доступом Разглашение информации, доступ к которой ограничен федеральным законом «О персональных данных» (за исключением случаев, если разглашение такой информации влечет уголовную ответственность), лицом, получившим доступ к такой информации в связи с исполнением служебных или профессиональных обязанностей, за исключением случаев, предусмотренных частью 1 статьи настоящего Кодекса, (Ст недобросовестная конкуренция) влечет наложение административного штрафа...» «…КоАП РФ. Статья Нарушение установленного законом «О персональных данных» порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных) Нарушение установленного законом «О персональных данных» порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных) – влечет предупреждение или наложение административного штрафа…» «…КоАП РФ. Статья Разглашение информации с ограниченным доступом Разглашение информации, доступ к которой ограничен федеральным законом «О персональных данных» (за исключением случаев, если разглашение такой информации влечет уголовную ответственность), лицом, получившим доступ к такой информации в связи с исполнением служебных или профессиональных обязанностей, за исключением случаев, предусмотренных частью 1 статьи настоящего Кодекса, (Ст недобросовестная конкуренция) влечет наложение административного штрафа...» 32 Научно-Проектная Компания "СпецПроект". Защита персональных данных , Санкт-Петербург, ул. Жукова, д. 18, тел./факс: (812)

33 «…КоАП РФ. Статья Отказ в предоставлении гражданину информации Неправомерный отказ в предоставлении гражданину собранных в установленном порядке документов, материалов, непосредственно затрагивающих права и свободы гражданина, либо несвоевременное предоставление таких документов и материалов, непредоставление иной информации в случаях, предусмотренных законом «О персональных данных», либо предоставление гражданину неполной или заведомо недостоверной информации – влечет наложение административного штрафа…» Кодекс об Административных Правонарушениях (КоАП) 33 Научно-Проектная Компания "СпецПроект". Защита персональных данных , Санкт-Петербург, ул. Жукова, д. 18, тел./факс: (812)

34 Уголовный Кодекс РФ (УК РФ) «…УК РФ. Статья 137. Нарушение неприкосновенности частной жизни 1. Незаконное собирание или распространение сведений о частной жизни лица, составляющих его личную или семейную тайну, без его согласия либо распространение этих сведений в публичном выступлении, публично демонстрирующемся произведении или средствах массовой информации - наказываются штрафом, либо обязательными работами на срок от ста двадцати до ста восьмидесяти часов, либо исправительными работами на срок до одного года, либо арестом на срок до четырех месяцев...» «…УК РФ. Статья 140. Отказ в предоставлении гражданину информации Неправомерный отказ должностного лица в предоставлении собранных в установленном порядке документов и материалов, непосредственно затрагивающих права и свободы гражданина, либо предоставление гражданину неполной или заведомо ложной информации, если эти деяния причинили вред правам и законным интересам граждан, - наказываются штрафом, либо лишением права занимать определенные должности или заниматься определенной деятельностью на срок от двух до пяти лет...» «…УК РФ. Статья 137. Нарушение неприкосновенности частной жизни 1. Незаконное собирание или распространение сведений о частной жизни лица, составляющих его личную или семейную тайну, без его согласия либо распространение этих сведений в публичном выступлении, публично демонстрирующемся произведении или средствах массовой информации - наказываются штрафом, либо обязательными работами на срок от ста двадцати до ста восьмидесяти часов, либо исправительными работами на срок до одного года, либо арестом на срок до четырех месяцев...» «…УК РФ. Статья 140. Отказ в предоставлении гражданину информации Неправомерный отказ должностного лица в предоставлении собранных в установленном порядке документов и материалов, непосредственно затрагивающих права и свободы гражданина, либо предоставление гражданину неполной или заведомо ложной информации, если эти деяния причинили вред правам и законным интересам граждан, - наказываются штрафом, либо лишением права занимать определенные должности или заниматься определенной деятельностью на срок от двух до пяти лет...» 34 Научно-Проектная Компания "СпецПроект". Защита персональных данных , Санкт-Петербург, ул. Жукова, д. 18, тел./факс: (812)

35 35 Уголовный Кодекс РФ (УК РФ) «…УК РФ. Статья 272. Неправомерный доступ к компьютерной информации 1. Неправомерный доступ к охраняемой законом компьютерной информации, то есть информации на машинном носителе, в электронно-вычислительной машине (ЭВМ), системе ЭВМ или их сети, если это деяние повлекло уничтожение, блокирование, модификацию либо копирование информации, нарушение работы ЭВМ, системы ЭВМ или их сети, - наказывается штрафом, либо исправительными работами на срок от шести месяцев до одного года, либо лишением свободы на срок до двух лет…» Научно-Проектная Компания "СпецПроект". Защита персональных данных , Санкт-Петербург, ул. Жукова, д. 18, тел./факс: (812)

36 Основные термины Статья 23 Закона 152-ФЗ: «Уполномоченным органом по защите прав субъектов персональных данных, на который возлагается обеспечение контроля и надзора за соответствием обработки персональных данных требованиям настоящего Федерального закона, является федеральный орган исполнительной власти, осуществляющий функции по контролю и надзору в сфере информационных технологий и связи» Статья 23 Закона 152-ФЗ: «Уполномоченным органом по защите прав субъектов персональных данных, на который возлагается обеспечение контроля и надзора за соответствием обработки персональных данных требованиям настоящего Федерального закона, является федеральный орган исполнительной власти, осуществляющий функции по контролю и надзору в сфере информационных технологий и связи» В настоящее время функции Уполномоченного органа возложены на Федеральную службу по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) В настоящее время функции Уполномоченного органа возложены на Федеральную службу по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) 36 Научно-Проектная Компания "СпецПроект". Защита персональных данных , Санкт-Петербург, ул. Жукова, д. 18, тел./факс: (812)

37 Итоги 2008 г. В рамках выполнения функций по государственному контролю и надзору за соответствием обработки персональных данных требованиям законодательства Российской Федерации в области персональных данных Роскомнадзором в 2008 году проведено 76 мероприятий по контролю и надзору, в том числе 36 плановых и 40 внеплановых мероприятий. По результатам проверок выписано 19 предписаний об устранении выявленных нарушений Федерального закона «О персональных данных», 5 материалов направлено в органы прокуратуры; 11 – в судебные органы. В рамках выполнения функций по государственному контролю и надзору за соответствием обработки персональных данных требованиям законодательства Российской Федерации в области персональных данных Роскомнадзором в 2008 году проведено 76 мероприятий по контролю и надзору, в том числе 36 плановых и 40 внеплановых мероприятий. По результатам проверок выписано 19 предписаний об устранении выявленных нарушений Федерального закона «О персональных данных», 5 материалов направлено в органы прокуратуры; 11 – в судебные органы. Выявленные нарушения классифицированы по следующим статьям Кодекса Российской Федерации об административных правонарушениях: ст – нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных); ст – непредставление или несвоевременное представление в государственный орган сведений, представление которых предусмотрено законом и необходимо для осуществления этим органом его законной деятельности, а равно представление в государственный орган таких сведений в неполном объеме или искаженном виде. Выявленные нарушения классифицированы по следующим статьям Кодекса Российской Федерации об административных правонарушениях: ст – нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных); ст – непредставление или несвоевременное представление в государственный орган сведений, представление которых предусмотрено законом и необходимо для осуществления этим органом его законной деятельности, а равно представление в государственный орган таких сведений в неполном объеме или искаженном виде. 37 Научно-Проектная Компания "СпецПроект". Защита персональных данных , Санкт-Петербург, ул. Жукова, д. 18, тел./факс: (812)

38 Государство создало необходимые условия для выполнения требований по безопасности персональных данных. Оно определило понятия ПДн и операторов, которые эти данные обрабатывают. Согласно Законодательству операторами ПДн являются практически все организации, которые ведут свою деятельность на территории РФ, поскольку они как минимум осуществляют сбор, систематизацию и хранение сведений о своих сотрудниках, клиентах и партнерах. Государство создало необходимые условия для выполнения требований по безопасности персональных данных. Оно определило понятия ПДн и операторов, которые эти данные обрабатывают. Согласно Законодательству операторами ПДн являются практически все организации, которые ведут свою деятельность на территории РФ, поскольку они как минимум осуществляют сбор, систематизацию и хранение сведений о своих сотрудниках, клиентах и партнерах. Государство возложило на операторов ПДн определенные обязанности. Важнейшим из них является обеспечение безопасности персональных данных. Это означает, что оператор ПДн обязан принять все необходимые меры для обеспечения конфиденциальности (а в некоторых случаях доступности и целостности) сведений о субъектах ПДн. Уполномоченные государством органы разработали требования по созданию системы защиты персональных данных и конкретизировали их в нормативно-методических документах. Государство возложило на операторов ПДн определенные обязанности. Важнейшим из них является обеспечение безопасности персональных данных. Это означает, что оператор ПДн обязан принять все необходимые меры для обеспечения конфиденциальности (а в некоторых случаях доступности и целостности) сведений о субъектах ПДн. Уполномоченные государством органы разработали требования по созданию системы защиты персональных данных и конкретизировали их в нормативно-методических документах. 38 Научно-Проектная Компания "СпецПроект". Защита персональных данных , Санкт-Петербург, ул. Жукова, д. 18, тел./факс: (812)

39 Что делать? Практика показала, что реализовать данные требования самостоятельно организациям достаточно сложно. На помощь им приходят специализированные компании, работающие на рынке информационной безопасности. Имея в своем распоряжении достаточные и квалифицированные ресурсы, такие компании-интеграторы способны реализовать требования законодательства для конкретных организаций и систем. Практика показала, что реализовать данные требования самостоятельно организациям достаточно сложно. На помощь им приходят специализированные компании, работающие на рынке информационной безопасности. Имея в своем распоряжении достаточные и квалифицированные ресурсы, такие компании-интеграторы способны реализовать требования законодательства для конкретных организаций и систем. 39 Научно-Проектная Компания "СпецПроект". Защита персональных данных , Санкт-Петербург, ул. Жукова, д. 18, тел./факс: (812)

40 ООО «Научно-Проектная Компания «СпецПроект» Основой работы ООО «НПК «СпецПроект» является осуществление «под ключ» всего комплекса организационных и технических мероприятий, необходимых при создании системы защиты персональных данных, в том числе: выполнение проектно-конструкторских и проектно-технологических работ; обеспечение нормативно-правовыми и методическими документами; разработку проектов организационно-распорядительных документов организации; поставку и монтаж оборудования; разработку специализированного программного обеспечения; аттестацию объектов информатизации и локальных сетей; организацию обучения персонала. Научно-Проектная Компания «СпецПроект» является специализированным предприятием, осуществляющим полный комплекс работ по защите информации составляющей государственную тайну, а также коммерческой тайны и конфиденциальной информации, в том числе персональных данных государственных гражданских служащих и граждан Российской Федерации. В компании разработаны эксклюзивные методики и накоплен практический опыт по созданию и совершенствованию системы защиты информации ограниченного распространения в интересах органов государственной власти и местного самоуправления, предприятий, учреждений и организаций, независимо от их организационно-правовой формы и ведомственной принадлежности. В компании разработаны эксклюзивные методики и накоплен практический опыт по созданию и совершенствованию системы защиты информации ограниченного распространения в интересах органов государственной власти и местного самоуправления, предприятий, учреждений и организаций, независимо от их организационно-правовой формы и ведомственной принадлежности. 40 Научно-Проектная Компания "СпецПроект". Защита персональных данных , Санкт-Петербург, ул. Жукова, д. 18, тел./факс: (812)