НОВОЕ В НОРМАТИВНОЙ БАЗЕ В ОБЛАСТИ ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ (требования и комментарии) ОАО «ЭЛВИС-ПЛЮС» 2008 год © ОАО «ЭЛВИС-ПЛЮС», 2008 г.,

Download Report

Transcript НОВОЕ В НОРМАТИВНОЙ БАЗЕ В ОБЛАСТИ ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ (требования и комментарии) ОАО «ЭЛВИС-ПЛЮС» 2008 год © ОАО «ЭЛВИС-ПЛЮС», 2008 г., 

НОВОЕ В НОРМАТИВНОЙ БАЗЕ
В ОБЛАСТИ ЗАЩИТЫ
ПЕРСОНАЛЬНЫХ ДАННЫХ
(требования и комментарии)
ОАО «ЭЛВИС-ПЛЮС»
2008 год
© ОАО «ЭЛВИС-ПЛЮС», 2008 г.,
Пролог
В период 2007-2008 годов в соответствии с возложенными
полномочиями, ФСТЭК России и ФСБ России разработаны
и введены в действие ряд нормативных и методических
документов в области защиты информации:
 нормативные и методические документы, определяющие
требования по защите персональных данных (5 документов)
 нормативный документ, определяющий требования по
применению СКЗИ для защиты ИС ПДн
В настоящее время начата рассылка документов
органам государственной власти и лицензиатам
ФСТЭК России для исполнения
Нормативная база по защите ПД
Состав нормативных и методических документов
 Федеральные законы
 Постановления Правительства Российской Федерации
 Документы уполномоченных федеральных органов
Понятийный аппарат
Федеральный Закон № 152-ФЗ «О персональных данных»

Персональные данные (ПД) - любая информация, относящаяся к
определенному или определяемому на основании такой
информации физическому лицу (субъекту ПД), в том числе:
фамилия, имя, отчество, год, месяц, дата и место рождения, адрес,
семейное, социальное, имущественное положение, образование,
профессия, доходы, другая информация

Оператор персональных данных - государственный орган,
муниципальный орган, юридическое или физическое лицо,
организующие и (или) осуществляющие обработку персональных
данных, а также определяющие цели и содержание такой
обработки
Обеспечение безопасности ПД
Федеральный Закон № 152-ФЗ «О персональных данных»

Оператор обязан принимать организационные и технические
меры, для защиты ПД от НСД, уничтожения, изменения,
блокирования, копирования, распространения и иных
неправомерных действий (ст. 19, ч. 1)

Правительство РФ устанавливает требования к обеспечению
безопасности ПД при их обработке (ст. 19, ч. 2)
Требования должны быть выполнены до 1.01.2010 г. (ст. 25)
Федеральные органы в области обеспечения безопасности и
ПД ИТР и ТЗИ (ФСБ России и ФСТЭК России) осуществляют
контроль и надзор



Лица, виновные в нарушении требований несут гражданскую,
уголовную, административную, дисциплинарную и иную
предусмотренную законодательством РФ ответственность
Уведомления об обработке
персональных данных
Федеральный Закон № 152-ФЗ «О персональных данных»


Оператор до начала обработки ПД обязан уведомить
уполномоченный орган по защите прав субъектов ПД о своём
намерении осуществлять обработку ПД
Уполномоченный орган по защите прав субъектов ПД ведёт
реестр операторов ПД, имеет право на контроль деятельности
операторов и приостановление или прекращению обработки ПД,
осуществляемой с нарушением требований
Форма уведомления о намерении обрабатывать ПД установлена
Россвязькомнадзор
Положение об обеспечении безопасности ПД
при их обработке в ИС ПД
Постановление Правительства РФ от 17.11.2007 г. № 781
 возлагает на ФСТЭК России и ФСБ России разработку методов и способов
защиты ПД в информационных системах
 возлагает на оператора ПД задачу обеспечения безопасности ПД и
обязанность классификации ИС
 устанавливает, что работы по обеспечению безопасности ПД являются
неотъемлемой частью работ по созданию ИС ПД
 устанавливает, что средства защиты ПД должны пройти оценку соответствия
(во ФСТЭК России и ФСБ России)
 определяет, что достаточность принятых мер по обеспечению безопасности
ПД оценивается при проведении государственного контроля и надзора
Безопасность ПД направлена на исключение несанкционированного
доступа к ним в результате которого возможно их уничтожение,
изменение, блокирование, копирование и распространение
Уполномоченные федеральные органы власти
Компетенция в решении вопросов защиты ПД
 ФСТЭК России – определение требований и порядка
защиты ПД не криптографическими средствами
 ФСБ России – определение требований и порядка
защиты ПД криптографическими средствами
 Россвязькомнадзор – уполномоченный орган по
защите прав субъектов ПД, осуществляющий
государственный контроль и надзор за соответствием
обработки ПД требованиям законодательства
Документы ФСТЭК России
Документы по защите ПД уполномоченных федеральных органов

«Порядок проведения классификации информационных систем ПД»
Приказ ФСТЭК России, ФСБ России и Мининформсвязи России от 13.02.2008 г. № 55/86/20

«Базовая модель угроз безопасности ПД при их обработке в ИС ПД»

«Методика определения угроз безопасности ПД при их обработке в ИС
ПД»

«Основные мероприятия по организации и техническому обеспечению
безопасности ПД, обрабатываемых в ИС ПД»

«Рекомендации по обеспечению безопасности ПД при их обработке в
ИС ПД»
Утверждены заместителем директора ФСТЭК России 14 - 15 февраля 2008 г.
Документы ФСТЭК России
Назначение и область применения
Документы предназначены для использования при
обеспечении безопасности ПД в ИС:
 государственных и муниципальных органов власти;
 юридических лиц (независимо от формы их собственности);
 физических лиц (кроме случаев использования ИС только для
личных и семейных нужд).
Порядок проведения классификации ИС
персональных данных
Категории персональных данных
Установлены следующие категории ПД:
 категория 1 - ПД, касающиеся расовой, национальной принадлежности,
политических взглядов, религиозных и философских убеждений,
состояния здоровья, интимной жизни
 категория 2 - ПД, позволяющие идентифицировать субъекта ПД и
получить о нем дополнительную информацию, за исключением ПД,
относящихся к категории 1
 категория 3 - персональные данные, позволяющие идентифицировать
субъекта ПД
 категория 4 - обезличенные и (или) общедоступные ПД.
Пункт 6 Приказа №55/86/20
Порядок проведения классификации ИС
персональных данных
Типы ИС по составу характеристик безопасности
ИС, обрабатывающие ПД, делятся на типовые и специальные :
 Типовые ИС - информационные системы, в которых требуется
обеспечение только конфиденциальности ПД;
 Специальные ИС - системы, в которых вне зависимости от
необходимости обеспечения конфиденциальности ПД требуется
обеспечить хотя бы одну из характеристик безопасности ПД,
отличную от конфиденциальности (защищенность от уничтожения,
изменения, блокирования, а также иных несанкционированных
действий)
Пункт 8 Приказа №55/86/20
Порядок проведения классификации ИС
персональных данных
Типы ИС по объему ПД
ИС, обрабатывающие ПД, делятся по объему ПД на:
 ИС, обрабатывающие ПД мене чем о 1000 субъектах ПД;
 ИС, обрабатывающие ПД о 1000 – 100 000 субъектах ПД;
 ИС, обрабатывающие ПД более чем о 100 000 субъектах ПД.
Пункт 8 Приказа №55/86/20
Порядок проведения классификации ИС
персональных данных
Классы типовых ИС ПД
В зависимости от последствий нарушений заданной
характеристики безопасности ПД, типовой ИС
присваивается один из классов:
 класс 1 (К1) - ИС, для которых нарушения могу привести к
значительным негативным последствиям для субъектов ПД;
 класс 2 (К2) - ИС, для которых нарушения могут привести к
негативным последствиям для субъектов ПД;
 класс 3 (К3) - ИС, для которых нарушения могут привести к
незначительным негативным последствиям для субъектов ПД;
 класс 4 (К4) - ИС, для которых нарушения не приводят к
негативным последствиям для субъектов ПД.
Пункт 14 Приказа №55/86/20
Порядок проведения классификации ИС
персональных данных
Порядок выбора класса ИС ПД
Класс типовой ИС выбирается по таблице:
Количество субъектов
> 1000
1000 – 100 000
< 100 000
категория 4
К4
К4
К4
категория 3
К3
К3
К2
категория 2
К3
К2
К1
категория 1
К1
К1
К1
Категории ПД
Пункт 15 Приказа №55/86/20
Класс специальной ИС определяется на основе модели угроз
Пункт 16 Приказа №55/86/20
Базовая модель угроз безопасности ПД
при их обработке в ИС
Назначение и содержание
 Предназначена для использования при разработке
моделей угроз для конкретных ИС ПД
 Содержит общее системное изложение вероятных
угроз безопасности ПД при их обработке в ИС
Методика определения угроз безопасности ПД
при их обработке в ИС
Назначение и содержание
 Определяет порядок моделирования угроз безопасности
ПД при их обработке в ИС и выявления актуальных угроз
(на основе экспертного анализа)
 Результаты моделирования служат для формирования
обоснованных требований по защите ПД при их
обработке в ИС
Основные мероприятия по организации и
техническому обеспечению безопасности ПД,
обрабатываемых в ИС
Основные положения
Документ устанавливает, что для обеспечения
безопасности ПД:

Должна создаваться система защиты ПД

Средства защиты должны пройти процедуру оценки соответствия
(сертификацию)

Операторы ПД (для ИС 1 и 2 класса) должны получить лицензию
на деятельность по технической защите конфиденциальной
информации (Постановление Правительства РФ 2006 г. № 504).
Основные мероприятия по организации и
техническому обеспечению безопасности ПД,
обрабатываемых в ИС
Порядок оценки соответствия ИС требованиям безопасности
Устанавливается следующий порядок оценки ИС
требованиям безопасности:
 ИС 1 и 2 класса – обязательная сертификация (аттестация)
 ИС 3 класса – декларирование соответствия
 ИС 4 класса – оценка проводится по решению оператора ПД
Рекомендации по обеспечению безопасности
ПД при их обработке в ИС
Назначение и содержание

Документ содержит рекомендации по вопросам
обеспечения безопасности ПД, оценки актуальности
угроз безопасности ПД, применения способов, мер
и средств защиты ПД
Спасибо за внимание !
124460, МОСКВА, Зеленоград,
Центральный проспект, 11
тел. 531-4633, факс 531-8863
e-mail: [email protected]
http://www.elvis.ru