Начальник отдела по информационной безопасности ФГУ ФЦТ Григорьев Александр Викторович

Содержание

Слайд 2

С чего все начиналось

Конвенция совета Европы
О защите физических лиц при автоматизированной обработке

С чего все начиналось Конвенция совета Европы О защите физических лиц при
данных Страсбург , 28 января 1981 г.
изменения от 15 июня 1999 г.
Подписана Россией 7 ноября 2001г.

Федеральный закон № 160-ФЗ
О ратификации Конвенции Совета Европы, о защите физических лиц при автоматизированной обработке данных . 19 декабря 2005г.

Федеральный Закон № 152-ФЗ «О персональных данных»
от 27.07.2006 г.
Постановление Правительства России № 781
"Положение об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных»
Утверждено 17.11.2007 г.
Приказ ФСТЭК, ФСБ и МинИнформсвязи России № 55/86/20 г. Москва "Об утверждении Порядка проведения классификации информационных систем персональных данных" от 13 февраля 2008 г.

Приказ ФСТЭК, ФСБ и Мининформсвязи России от 13 февраля 2008 г. N 55/86/20 г. Москва "Об утверждении Порядка проведения классификации информационных систем персональных данных"

Слайд 3

Статья 3
персональные данные - любая информация, относящаяся к определенному или определяемому на

Статья 3 персональные данные - любая информация, относящаяся к определенному или определяемому
основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация;

Что определяет закон и его цель?

Целью настоящего Федерального закона является
обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных,
в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну.

оператор - государственный орган, муниципальный орган, юридическое или физическое лицо, организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели и содержание обработки персональных данных;

Слайд 4

Статья 19. Меры по обеспечению безопасности персональных данных при их обработке
1.

Статья 19. Меры по обеспечению безопасности персональных данных при их обработке 1.
Оператор при обработке персональных данных
обязан принимать необходимые организационные и технические меры,
в том числе использовать шифровальные (криптографические) средства, для защиты персональных данных N 363-ФЗ от 27 декабря 2009 г.

Что обязан сделать Оператор ?

Статья 25. Заключительные положения
1. Настоящий Федеральный закон вступает в силу по истечении ста восьмидесяти дней после дня его официального опубликования. (УЖЕ ВСТУПИЛ)
2. После дня вступления в силу ……….обработка персональных данных, ………. осуществляется в соответствии с настоящим Федеральным законом.
3. Информационные системы персональных данных, созданные до дня вступления в силу настоящего Федерального закона, должны быть приведены в соответствие с требованиями настоящего Федерального закона
не позднее 1 января 2010 2011года. N363-ФЗ от 27 декабря 2009 г.
4. Операторы, ……………., обязаны направить в уполномоченный орган …………. уведомление, предусмотренное частью 3 статьи 22 настоящего Федерального закона,
не позднее 1 января 2008 года.

Слайд 5

Что мешало выполнять Закон ?

Операторы обязаны направить в уполномоченный орган уведомление,
не

Что мешало выполнять Закон ? Операторы обязаны направить в уполномоченный орган уведомление,
позднее
1 января 2008 года.

Уполномоченный орган
Постановление Правительства №878 (упоминание)
О некоторых вопросах деятельности Федеральной службы Россвязьохранкультуры 15 декабря 2007 г.
Указ Президента № 1715 о создании Федеральной службы Роскомнадзор 3 декабря 2008 г.
Постановление Правительства № 228
Положение о Федеральной службе Роскомнадзор 16 марта 2009 г.

Информационные системы должны быть приведены в соответствие 2011
не позднее 1 января 2010 года. 27 июля 2006г.
N 363-ФЗ от 27 декабря 2009 г.

Нормативно-методические документы
ФСТЭК России 14, 15 февраля 2008 г.
ФСБ России 21 февраля 2008 г.

Теперь ничего не мешает !!!

Слайд 6

Уведомление в уполномоченный орган

С чего начать?

1) наименование (фамилия, имя, отчество), адрес оператора;

Уведомление в уполномоченный орган С чего начать? 1) наименование (фамилия, имя, отчество),
2) цель обработки персональных данных;
3) категории персональных данных;
4) категории субъектов, персональные данные которых обрабатываются;
5) правовое основание обработки персональных данных;
6) перечень действий с персональными данными, общее описание используемых оператором способов обработки персональных данных;

7) описание мер, которые оператор обязуется осуществлять при обработке персональных данных, по обеспечению безопасности персональных данных при их обработке;
8) дата начала обработки персональных данных;
9) срок или условие прекращения обработки персональных данных.

Статья 22. 152-ФЗ

Меры по обеспечению безопасности определяются КЛАССОМ информационной системы

Слайд 7

категория 1 – персональные данные, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных

категория 1 – персональные данные, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных
и философских убеждений, состояния здоровья, интимной жизни; 
категория 2 – персональные данные, позволяющие идентифицировать субъекта персональных данных и получить о нем дополнительную информацию, за исключением персональных данных, относящихся к категории 1; 
категория 3 – персональные данные, позволяющие идентифицировать субъекта персональных данных; 
категория 4 – обезличенные и (или) общедоступные персональные данные.

Категории персональных данных

Приказ № 55/86/20

Слайд 8

Классы типовых информационных систем

обязательная сертификация (аттестация) по требованиям безопасности информации;
декларирование соответствия

Классы типовых информационных систем обязательная сертификация (аттестация) по требованиям безопасности информации; декларирование
или обязательная сертификация (аттестация) по требованиям безопасности информации (по решению оператора);

операторы ИСПДн при проведении мероприятий по обеспечению безопасности ПДн (конфиденциальной информации) при их обработке в ИСПДн 1, 2 классов и распределенных информационных систем 3 класса должны получить лицензию на осуществление деятельности по технической защите конфиденциальной информации Нормативные документы ФСТЭК

Приказ № 55/86/20

Слайд 9

По результатам анализа исходных данных класс специальной информационной системы определяется на основе

По результатам анализа исходных данных класс специальной информационной системы определяется на основе
модели угроз безопасности персональных данных в соответствии с методическими документами, ……. Приказ № 55/86/20 основание - Постановление Правительства № 781

Класс специальных информационных систем

Наша система: специальная, 3 класса, не распределенная

Специальные информационные системы – информационные системы, в которых вне зависимости от необходимости обеспечения конфиденциальности персональных данных требуется обеспечить хотя бы одну из характеристик безопасности персональных данных, отличную от конфиденциальности (защищенность от уничтожения, изменения, блокирования, а также иных несанкционированных действий).
К специальным информационным системам должны быть отнесены: 
информационные системы, в которых обрабатываются персональные данные, касающиеся состояния здоровья субъектов персональных данных;
информационные системы, в которых предусмотрено принятие на основании исключительно автоматизированной обработки персональных данных решений, порождающих юридические последствия в отношении субъекта персональных данных или иным образом затрагивающих его права и законные интересы.

Слайд 10

Итоги работы Роскомнадзора за первую половину 2009 года

205 проверок, из которых 119

Итоги работы Роскомнадзора за первую половину 2009 года 205 проверок, из которых
– плановые, 86 – внеплановые.
Вынесено 293 предписания
Составлено 27 протоколов об административных правонарушениях.
Судами рассмотрено 14 административных дел и взыскано штрафов на 28 тыс. руб.

Слайд 11

Программные средства ОС

Дополнительные программные средства

Криптогра-фические средства

Средства защиты от ПМВ

Другие средства защиты

VPN-технологии

Средства контроля

Программные средства ОС Дополнительные программные средства Криптогра-фические средства Средства защиты от ПМВ
целостности

Специальные средства обнаружения вредоносных программ и «лечения»

Средства тестирования

Утилиты для восстановления информации

Средства тестирования сетей и программ

Средства обнаружения атак

Межсетевые экраны

Технические меры защиты

Что такое защита информации?

Люди, способные ВСЕ ЭТО эксплуатировать!!!

Слайд 12

Что делать в первую очередь?

Модель угроз безопасности

Акт классификации специальной ИСПДн

Перечень законодательных

Что делать в первую очередь? Модель угроз безопасности Акт классификации специальной ИСПДн
требований по обеспечению защиты ПД

Рекомендации по выполнению требований законодательства РФ по организационным аспектам обработки и защиты ПД

Рекомендации по структуре и составу системы защиты ПД в целом

План-график внедрения СЗПДн и финансирование

Уведомление Роскомнадзор

Слайд 14

Что дальше?

Подготовка объекта защиты к вводу СЗИ в действие (организационно-техническая документация)

Установка и

Что дальше? Подготовка объекта защиты к вводу СЗИ в действие (организационно-техническая документация)
настройка СЗПДн

Проведение обучения персонала

Аттестация

Лицензирование

Анализ результатов, выдача заключения, аттестатов соответствия на объекты информатизации

Проведение испытаний

Подготовка документов для подачи заявки во ФСТЭК России на получение лицензии

Слайд 15

Разработка организационных мер по соблюдению требований законодательства РФ к обеспечению защиты ПДн;
Разработка

Разработка организационных мер по соблюдению требований законодательства РФ к обеспечению защиты ПДн;
проектов документов, приказов и распоряжений по реализации разработанных организационных мер по защите ПДн.
Разработка и согласование решений по организационной структуре, обязанностям и правам пользователей при работе в ИСПДн.
Определение подразделений и назначение лиц, ответственных за эксплуатацию средств защиты информации;

«Техническое задание на создание СЗПДн»
«Пояснительная записка на создание СЗПДн»
«Описание технического, программного, информационного обеспечения и технологии обработки (передачи) информации в ИСПДн»
«Программа и методика испытаний»
«Руководство администратора»
«Руководство пользователя»
«Инструкция по установке и настройке СЗПДн и ее частей».
«Акт предварительных испытаний СЗПДн», «Протокол предварительных испытаний СЗПДн».
«Акт приемочных испытаний СЗПДн»,
«Протокол приемочных испытаний» СЗПДн».

Организационно-техническая документация

Слайд 16

Что потом?

Что потом?
Имя файла: Начальник-отдела-по-информационной-безопасности-ФГУ-ФЦТ-Григорьев-Александр-Викторович.pptx
Количество просмотров: 138
Количество скачиваний: 0