Transcript Защита персональных данных. Изменение законодательства и

Защита персональных данных
Изменение законодательства
и преемственность
организационно-технических решений
Сафонов Сергей Александрович
заместитель начальника отдела по информационной безопасности
ФГБУ «Федеральный центр тестирования»
2013 г.
Содержание
Законодательные и нормативно – правовые
документы, регламентирующие вопросы защиты
персональных данных
Проекты документов ФСТЭК России,
регламентирующих требования о защите
информации, не составляющей государственную
тайну, содержащейся в государственных
информационных системах
Нормативная база
 Федеральный закон от 27 июля 2006 г. № 149-ФЗ «Об информации,
информационных технологиях и о защите информации»
 Федеральный закон от 27 июля 2006 г. № 152-ФЗ «О персональных данных»
 Постановление Правительства РФ от 01 ноября 2012 г. №1119г. «Об
утверждении требований к защите персональных данных при их обработке в
информационных системах персональных данных»
 Проекты Приказов ФСТЭК России «Об утверждении состава и содержания
организационных и технических мер по обеспечению безопасности
персональных данных при их обработке в информационных системах
персональных данных» и «Об утверждении требований о защите информации,
не составляющей государственную тайну, содержащейся в государственных
информационных системах»
Нормативная база
 В соответствии с Постановлением Правительства РФ от 01 ноября 2012 г.
№1119г. признано утратившим силу постановление Правительства Российской
Федерации от 17 ноября 2007 г. № 781 «Об утверждении Положения об
обеспечении безопасности персональных данных при их обработке в
информационных системах персональных данных».
 Во исполнение Постановления Правительства РФ от 01 ноября 2012 г. №1119г.
ФСТЭК России подготовлены и находятся на согласовании в Минюсте:
- Приказ ФСТЭК России «Об утверждении состава и содержания
организационных и технических мер по обеспечению безопасности
персональных данных при их обработке в информационных системах
персональных данных»
- Приказ ФСТЭК России «Об утверждении требований о защите информации,
не составляющей государственную тайну, содержащейся в государственных
информационных системах»
Анализ изменений
 Проведенный анализ проектов нормативных документов ФСТЭК России
показывает, что в целом подход к защите ПДн остается прежним, за
исключением того, что выбор мер и средств защиты ИСПДн осуществляется
операторами исходя из актуальности угроз и необходимости обеспечения
требуемого уровня защищенности.
 Для ПДн, обрабатываемых в государственных информационных системах
выполнение требований о защите информации является обязательным.
 Меры по обеспечению безопасности персональных данных в государственных
информационных системах принимаются в соответствии с требованиями о
защите информации, не содержащей государственную тайну, содержащейся в
государственных информационных системах, устанавливаемыми ФСТЭК
России в пределах своих полномочий.
Типы угроз
Постановление № 1119 устанавливает 4-е уровня защищенности ПДн в
зависимости от типа угроз, актуальных для информационной системы
Типы угроз
Характеристика
Угрозы 1-го
типа
Актуальны для информационной системы, если для нее в том числе
актуальны угрозы, связанные с наличием недокументированных
(недекларированных) возможностей в системном программном
обеспечении, используемом в информационной системе
Угрозы 2-го
типа
Актуальны для информационной системы, если для нее в том числе
актуальны угрозы, связанные с наличием недокументированных
(недекларированных) возможностей в прикладном программном
обеспечении, используемом в информационной системе
Угрозы 3-го
типа
Актуальны для информационной системы, если для нее актуальны угрозы,
не связанные с наличием недокументированных (недекларированных)
возможностей в системном и прикладном программном обеспечении,
используемом в информационной системе
Требования Постановления Правительства РФ
от 27 января 2012 г. № 36
«Об утверждении правил формирования и ведения федеральной
информационной системы обеспечения проведения единого
государственного экзамена и приема граждан в образовательные
учреждения среднего профессионального образования и
образовательные учреждения высшего профессионального
образования и региональных информационных систем обеспечения
проведения единого государственного экзамена»
 Федеральная и региональные информационные системы являются
государственными информационными системами.
 Обладателем информации, содержащейся в федеральной
информационной системе, является Российская Федерация. От
имени Российской Федерации правомочия обладателя информации,
содержащейся в указанной системе, осуществляются Федеральной
службой по надзору в сфере образования и науки
Критерии классификации государственных
информационных систем
 В соответствии с проектом Приказа ФСТЭК России «Об утверждении
требований о защите информации, не составляющей государственную
тайну, содержащейся в государственных информационных системах»
При обработке в государственной информационной системе информации, содержащей
персональные данные, для обеспечения первого уровня защищенности персональных
данных, установленного в соответствии с Требованиями к защите персональных при их
обработке в информационных системах персональных данных, утвержденными
постановлением Правительства Российской Федерации от 1 ноября 2012 г. № 1119,
государственной информационной системе не может быть присвоен класс защищенности
ниже чем К1.
Для второго уровня - ниже чем К2.
Для третьего уровня - ниже чем К3.
Для четвертого уровня - К4 или боле высокий.
Требования к системе защиты ПДн
в государственных информационных системах
Система защиты включает следующие меры защиты информации:
- обеспечение доверенной загрузки;
- идентификацию и аутентификацию субъектов доступа и объектов доступа;
- управление доступом субъектов доступа к объектам доступа;
- ограничение программной среды;
- защиту машинных носителей информации;
- регистрацию событий безопасности;
- обеспечение целостности информационной системы и информации;
- защиту среды виртуализации;
- защиту технических средств;
- защиту информационной системы, ее средств и систем связи и передачи
данных.
Выводы
 Концепция защиты информации (ПДн)
ФИС ЕГЭ и приема не изменилась
 Региональные информационные системы
взаимодействуют с ФИС по прежней схеме
с обеспечением выполнения требований
по информационной безопасности
Спасибо за внимание !
Федеральное государственное бюджетное учреждение
«Федеральный центр тестирования»
Юридический и почтовый адрес:
119049, Москва, Ленинский проспект, д. 2а
+7 (495) 530-10-00 секретариат
[email protected]
www.rustest.ru