Начальник отдела по информационной безопасности ФГУ ФЦТ Григорьев Александр Викторович

данных Страсбург , 28 января 1981 г.
изменения от 15 июня 1999 г.
Подписана Россией 7 ноября 2001г.

Федеральный закон № 160-ФЗ
О ратификации Конвенции Совета Европы, о защите физических лиц при автоматизированной обработке данных . 19 декабря 2005г.

Федеральный Закон № 152-ФЗ «О персональных данных»
от 27.07.2006 г.
Постановление Правительства России № 781
"Положение об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных»
Утверждено 17.11.2007 г.
Приказ ФСТЭК, ФСБ и МинИнформсвязи России № 55/86/20 г. Москва "Об утверждении Порядка проведения классификации информационных систем персональных данных" от 13 февраля 2008 г.

Приказ ФСТЭК, ФСБ и Мининформсвязи России от 13 февраля 2008 г. N 55/86/20 г. Москва "Об утверждении Порядка проведения классификации информационных систем персональных данных"

основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация;

Что определяет закон и его цель?

Целью настоящего Федерального закона является
обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных,
в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну.

оператор - государственный орган, муниципальный орган, юридическое или физическое лицо, организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели и содержание обработки персональных данных;

Оператор при обработке персональных данных
обязан принимать необходимые организационные и технические меры,
в том числе использовать шифровальные (криптографические) средства, для защиты персональных данных N 363-ФЗ от 27 декабря 2009 г.

Что обязан сделать Оператор ?

Статья 25. Заключительные положения
1. Настоящий Федеральный закон вступает в силу по истечении ста восьмидесяти дней после дня его официального опубликования. (УЖЕ ВСТУПИЛ)
2. После дня вступления в силу ……….обработка персональных данных, ………. осуществляется в соответствии с настоящим Федеральным законом.
3. Информационные системы персональных данных, созданные до дня вступления в силу настоящего Федерального закона, должны быть приведены в соответствие с требованиями настоящего Федерального закона
не позднее 1 января 2010 2011года. N363-ФЗ от 27 декабря 2009 г.
4. Операторы, ……………., обязаны направить в уполномоченный орган …………. уведомление, предусмотренное частью 3 статьи 22 настоящего Федерального закона,
не позднее 1 января 2008 года.

позднее
1 января 2008 года.

Уполномоченный орган
Постановление Правительства №878 (упоминание)
О некоторых вопросах деятельности Федеральной службы Россвязьохранкультуры 15 декабря 2007 г.
Указ Президента № 1715 о создании Федеральной службы Роскомнадзор 3 декабря 2008 г.
Постановление Правительства № 228
Положение о Федеральной службе Роскомнадзор 16 марта 2009 г.

Информационные системы должны быть приведены в соответствие 2011
не позднее 1 января 2010 года. 27 июля 2006г.
N 363-ФЗ от 27 декабря 2009 г.

Нормативно-методические документы
ФСТЭК России 14, 15 февраля 2008 г.
ФСБ России 21 февраля 2008 г.

Теперь ничего не мешает !!!

2) цель обработки персональных данных;
3) категории персональных данных;
4) категории субъектов, персональные данные которых обрабатываются;
5) правовое основание обработки персональных данных;
6) перечень действий с персональными данными, общее описание используемых оператором способов обработки персональных данных;

7) описание мер, которые оператор обязуется осуществлять при обработке персональных данных, по обеспечению безопасности персональных данных при их обработке;
8) дата начала обработки персональных данных;
9) срок или условие прекращения обработки персональных данных.

Статья 22. 152-ФЗ

Меры по обеспечению безопасности определяются КЛАССОМ информационной системы

и философских убеждений, состояния здоровья, интимной жизни; 
категория 2 – персональные данные, позволяющие идентифицировать субъекта персональных данных и получить о нем дополнительную информацию, за исключением персональных данных, относящихся к категории 1; 
категория 3 – персональные данные, позволяющие идентифицировать субъекта персональных данных; 
категория 4 – обезличенные и (или) общедоступные персональные данные.

Категории персональных данных

Приказ № 55/86/20

или обязательная сертификация (аттестация) по требованиям безопасности информации (по решению оператора);

операторы ИСПДн при проведении мероприятий по обеспечению безопасности ПДн (конфиденциальной информации) при их обработке в ИСПДн 1, 2 классов и распределенных информационных систем 3 класса должны получить лицензию на осуществление деятельности по технической защите конфиденциальной информации Нормативные документы ФСТЭК

Приказ № 55/86/20

модели угроз безопасности персональных данных в соответствии с методическими документами, ……. Приказ № 55/86/20 основание - Постановление Правительства № 781

Класс специальных информационных систем

Наша система: специальная, 3 класса, не распределенная

Специальные информационные системы – информационные системы, в которых вне зависимости от необходимости обеспечения конфиденциальности персональных данных требуется обеспечить хотя бы одну из характеристик безопасности персональных данных, отличную от конфиденциальности (защищенность от уничтожения, изменения, блокирования, а также иных несанкционированных действий).
К специальным информационным системам должны быть отнесены: 
информационные системы, в которых обрабатываются персональные данные, касающиеся состояния здоровья субъектов персональных данных;
информационные системы, в которых предусмотрено принятие на основании исключительно автоматизированной обработки персональных данных решений, порождающих юридические последствия в отношении субъекта персональных данных или иным образом затрагивающих его права и законные интересы.

– плановые, 86 – внеплановые.
Вынесено 293 предписания
Составлено 27 протоколов об административных правонарушениях.
Судами рассмотрено 14 административных дел и взыскано штрафов на 28 тыс. руб.

целостности

Специальные средства обнаружения вредоносных программ и «лечения»

Средства тестирования

Утилиты для восстановления информации

Средства тестирования сетей и программ

Средства обнаружения атак

Межсетевые экраны

Технические меры защиты

Что такое защита информации?

Люди, способные ВСЕ ЭТО эксплуатировать!!!

требований по обеспечению защиты ПД

Рекомендации по выполнению требований законодательства РФ по организационным аспектам обработки и защиты ПД

Рекомендации по структуре и составу системы защиты ПД в целом

План-график внедрения СЗПДн и финансирование

Уведомление Роскомнадзор

настройка СЗПДн

Проведение обучения персонала

Аттестация

Лицензирование

Анализ результатов, выдача заключения, аттестатов соответствия на объекты информатизации

Проведение испытаний

Подготовка документов для подачи заявки во ФСТЭК России на получение лицензии

проектов документов, приказов и распоряжений по реализации разработанных организационных мер по защите ПДн.
Разработка и согласование решений по организационной структуре, обязанностям и правам пользователей при работе в ИСПДн.
Определение подразделений и назначение лиц, ответственных за эксплуатацию средств защиты информации;

«Техническое задание на создание СЗПДн»
«Пояснительная записка на создание СЗПДн»
«Описание технического, программного, информационного обеспечения и технологии обработки (передачи) информации в ИСПДн»
«Программа и методика испытаний»
«Руководство администратора»
«Руководство пользователя»
«Инструкция по установке и настройке СЗПДн и ее частей».
«Акт предварительных испытаний СЗПДн», «Протокол предварительных испытаний СЗПДн».
«Акт приемочных испытаний СЗПДн»,
«Протокол приемочных испытаний» СЗПДн».

Организационно-техническая документация