ЗАЩИТА ПЕРСОНАЛЬНЫХ ДАННЫХ В ВУЗЕ Борис Скородумов, зам. заведующего кафедрой «Информационная безопасность» - презентация

1 ЗАЩИТА ПЕРСОНАЛЬНЫХ ДАННЫХ В ВУЗЕ Борис Скородумов, зам. заведующего кафедрой «Информационная безопасность»

2 ВМЕСТО ВВЕДЕНИЯ Оценочная миссия Европейской полицейской организации (Европола) приступила г. к работе в Москве по изучению правовой и административной практики РФ в сфере защиты персональных данных. Европол (англ. Europol) полицейская служба Европейского Союза, расположенная в Гааге. На данный момент Европол координирует работу полицейских служб всех 27 стран-членов Европейского Союза. СоюзаГааге

3 ИСТОРИЯ ВОПРОСА В 1981 году Совет Европы принял Конвенцию «О защите личности в связи с автоматической об работкой персональных данных». 25 ноября 2005 г. Государственная Дума ратифицировала данную Конвенцию (ФЗ от ФЗ «О рати фикации Конвенции Совета Европы о защите фи зических лиц при автоматической обработке пер сональных данных»), возложив на Российскую Федерацию обязательства по приведению в соот ветствие с нормами европейского законода тельства деятельность в области защиты прав субъектов ПДн. Первым шагом в реализации взя тых обязательств стало принятие Федерального закона 152ФЗ от г. «О персональных данных».

4 Постановление Правительства РФ от 17 ноября 2007 г. N 781 «Об утверждении Положения об обеспечении безопасности персональных данных при их об работке в информационных системах персональных данных» Постановление 687 от 15 сентября 2008г. "Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации "

5 Рособразование и персональные данные Письмо Руководителя Федерального агентства по образованию (Рособразование) руководителям организаций, подведомственных Федеральному агентству по образованию /185 от «О предоставлении уведомлений об обработке персональных данных» Письмо Руководителя Федерального агентства по образованию (Рособразование) руководителям учреждений, подведомственных Рособразованию от «Об обеспечении защиты персональных данных»

6 ОБЩЕРОССИЙСКИЙ СЕМИНАР «ЗАЩИТА ПЕРСОНАЛЬНЫХ ДАННЫХ В ОБРАЗОВАТЕЛЬНОЙ СФЕРЕ» 2 декабря 2009 года, г. Москва, НОУ ВПО «РосНОУ» На сайте велась прямая трансляция мероприятия Семинар завершился круглым столом на тему Практические вопросы организации работ по обеспечению безопасности персональных данных в автоматизированных ИС ПД образовательных учреждений Выступления представителей АНВУЗ, РосНОУ и других ВУЗов, при участии представителей ФСТЭК РФ и компаний Microsoft, BSI, «Эшелон», "АНКАД", «ДиалогНаука», «Гисофт», «3CAT» и др.

7 Подзаконные акты, постановления, положения, регламенты Обязательные правила Основы для понимания и работы Стандарты, кодексы, положения, практики, приказы, политики Инструменты для осуществления Процедуры, инструкции Практическая реализация Как это осуществить Конвенции, Директивы Международные акты высшего уровня, дающий общее представление о намерениях и целях Конкретные законы стран Совета Европы,направленные на реализацию положений Конвенции Локальные законодательные акты Нормативная база BSI MANAGEMENT SYSTEMS Международная практика защиты персональных данных BS 10012:2009 «Защита данных - Спецификация системы управления персональными данными» (московское представительство Британского института стандартов (BSI)

8 Много пользователей разного уровня Частые изменения Нет документации Труд студента Невысокие ставки Элементы «политики» Процессы Люди Орг Структура Особенности защиты ПД в ВУЗе ( 3cat )

9 Ответственность Лица, виновные в нарушении требований закона, несут гражданскую, уголовную, административную, дисциплинарную и иную предусмотренную законодательством Российской Федерации ответственность. Уголовный кодекс (УК РФ) Статьи:137, 140, 171 Штраф до 300 тыс. руб., Арест до 6-ти месяцев. Лишение права занимать должность на срок до 5-ти лет. Кодекс об административных правонарушениях (КоАП РФ) Трудовой кодекс (ТК РФ)

10 Кодекс РФ об административных правонарушениях Ст п.5. Грубое нарушение условий, предусмотренных лицензией на осуществление деятельности в области защиты информации (за исключением информации, составляющей гос.тайну), - влечет наложение административного штрафа на лиц, осуществляющих предпринимательскую деятельность без образования юридического лица, в размере от 1 тысячи до 1,5 тысячи рублей или административное приостановление деятельности на срок до 90 суток; на должностных лиц - от 1 тысячи до 1,5 тысячи рублей; на юридических лиц - от 10 тысяч до 15 тысяч рублей или административное приостановление деятельности на срок до 90 суток. ЗАО «НПО «Эшелон»

11 получение информации из открытых источников сканирование внешнего периметра поиск / создание эксплойтов взлом внешнего периметра / DMZ сканирование внутренней сети поиск / создание эксплойта взлом узла локальной сети вступление в контакт с персоналом обновление троянской программы атака на человека получение доступа к узлу локальной сети Получение доступа к персональным данным Техническая составляющая Социальная составляющая Обобщенный план теста на проникновение

12 Методы и средства обеспечения безопасности ПД Crypton Personal 1.1 Для предприятий с численностью работающих до 1000 человек (пользователи системы имеют одинаковые права по доступу к информации) Состав пакета: РУТОКЕН 32К + Crypton LockРУТОКЕН 32КCrypton Lock Crypton Personal 1.2 Для предприятий с численностью работающих свыше 1000 человек (пользователи системы имеют одинаковые права по доступу к информации) Состав пакета: РУТОКЕН 32К + Crypton Lock + Crypton ArcMailРУТОКЕН 32КCrypton LockCrypton ArcMail Crypton Personal 2.1 Для предприятий с численностью работающих до 1000 человек (пользователи системы имеют разные права по доступу к информации) Состав пакета: КРИПТОН-ЗАМОК/К + КРИПТОН-Щит + iButton 4K – 2шт + коннекторКРИПТОН-ЗАМОК/ККРИПТОН-Щит Данные пакеты решений предназначены для использования в случаях, если ПЭВМ, на которых производится обработка информации, не имеют подключения к сетям общего доступа (Интернет).

13 13 Получены новые сертификаты Windows Server 2008 (Standard, Enterprise, Datacenter) SQL Server 2008 (Standard, Enterprise) System Center Operation Manager 2007 System Center Configuration Manager 2007 R2 System Center Data Protection Manager 2007 Все эти сертификаты получены на соответствие –уровню 1Г и –Классу К3 Закона о персональных данных

14 НАСКОЛЬКО СИЛЬНО НЕОБХОДИМО ИЗМЕНЯТЬ СВОЮ ИТ-СИСТЕМУ КурскГТУ Картамышев А.В.

15 Структура затрат на СЗПДн

16 ЦЕНТРАЛЬНЫЙ БАНК РОССИЙСКОЙ ФЕДЕРАЦИИ (БАНК РОССИИ) СТАНДАРТ БАНКА РОССИИ ОБЕСПЕЧЕНИЕ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ОРГАНИЗАЦИЙ БАНКОВСКОЙ СИСТЕМЫ РОССИЙСКОЙ ФЕДЕРАЦИИ. ОБЩИЕ ПОЛОЖЕНИЯ Москва 2010 СТО БР ИББС

17 Центральный банк Российской Федерации (Банк России) Департамент внешних и общественных связей Банка России сообщает, что Банком России введены в действие с 21 июня 2010 года документы Комплекса документов в области стандартизации Банка России "Обеспечение информационной безопасности организаций банковской системы Российской Федерации" (далее – документы Комплекса БР ИББС) Документы Комплекса БР ИББС разработаны в целях выполнения в организациях банковской системы Российской Федерации требований Федерального закона "О персональных данных" и требований (рекомендаций) Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор), Федеральной службы безопасности Российской Федерации (ФСБ России) и Федеральной службы по техническому и экспортному контролю (ФСТЭК России). Документы Комплекса БР ИББС согласованы с Роскомнадзором, ФСБ России, ФСТЭК России

18 ИТОГИ 1.Следует проводить обмен опытом защиты персональных данных в ВУЗах 2.РосНОУ целесообразно изучать и обобщать опыт ВУЗов по защите персональных данных с целью оптимизации затрат.

19 Спасибо за Ваше внимание! СКОРОДУМОВ БОРИС ИВАНОВИЧ