Приведение информационных систем персональных данных в соответствие требованиям законодательства Российской Федерации

Содержание

Слайд 2

Основные документы в области обеспечения безопасности персональных данных

Основные документы в области обеспечения безопасности персональных данных

Слайд 3

Федеральный закон Российской Федерации от 27.07.2006 № 152-ФЗ «О персональных данных»

Основные определения (ПДн, оператор ПДн,

Федеральный закон Российской Федерации от 27.07.2006 № 152-ФЗ «О персональных данных» Основные
ИСПДн…).
Принципы и условия обработки ПДн.
Права Субъекта ПДн.
Обязанности Оператора ПДн.
Контроль и надзор за обработкой ПДн.
Ответственность за нарушение требований.

Слайд 4

Перечень Постановлений Правительства Российской Федерации

Постановление Правительства Российской Федерации от 17.11.2007 №

Перечень Постановлений Правительства Российской Федерации Постановление Правительства Российской Федерации от 17.11.2007 №
781 «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных»
Постановление Правительства Российской Федерации 15.09.2008 № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»
Постановление Правительства Российской Федерации от 6.07.2008 № 512 «Об утверждении требований к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных»

Слайд 5

Классификация информационных систем персональных данных:

Совместный приказ ФСТЭК России, ФСБ России и Мининформсвязи

Классификация информационных систем персональных данных: Совместный приказ ФСТЭК России, ФСБ России и
России от 13.02.2008 № 55/86/20 «Об утверждении порядка проведения классификации информационных систем персональных данных»

Слайд 6

Категории персональных данных (Xпд)

категория 1 - персональные данные, касающиеся расовой, национальной принадлежности,

Категории персональных данных (Xпд) категория 1 - персональные данные, касающиеся расовой, национальной
политических взглядов, религиозных и философских убеждений, состояния здоровья, интимной жизни;
категория 2 - персональные данные, позволяющие идентифицировать субъекта персональных данных и получить о нем дополнительную информацию, за исключением персональных данных, относящихся к категории 1;
категория 3 - персональные данные, позволяющие идентифицировать субъекта персональных данных;
категория 4 - обезличенные и (или) общедоступные персональные данные.

Слайд 7

Объем персональных данных (Xндп)

1 - в информационной системе одновременно обрабатываются ПДн более

Объем персональных данных (Xндп) 1 - в информационной системе одновременно обрабатываются ПДн
чем 100 000 субъектов ПДн;
2 - в информационной системе одновременно обрабатываются ПДн от 1000 до 100 000 субъектов ПДн;
3 - в информационной системе одновременно обрабатываются данные менее чем 1000 субъектов ПДн.

Слайд 8

Классы ИСПДн:

Классы ИСПДн:

Слайд 9

Перечень нормативно-методических документов ФСТЭК России

Приказ ФСТЭК России от 5.02.2010 №58 «Об утверждении

Перечень нормативно-методических документов ФСТЭК России Приказ ФСТЭК России от 5.02.2010 №58 «Об
положения о методах и способах защиты информации в информационных системах персональных данных».
Нормативно-методический документ ФСТЭК России от 15.02.2008 «Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных».
Нормативно-методический документ ФСТЭК России от 15.02.2008 «Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных» (ДСП).
Нормативно-методический документ «Специальные требования и рекомендации по технической защите конфиденциальной информации (СТР-К)», утвержденный приказом Гостехкомиссии России от 30.08.2002 №282 (ДСП).

Слайд 10

Перечень нормативно-методических документов ФСБ России

Типовые требования по организации и обеспечению функционирования шифровальных

Перечень нормативно-методических документов ФСБ России Типовые требования по организации и обеспечению функционирования
(криптографических) средств, предназначенных для защиты информации, не содержащей сведений, составляющих государственную тайну, в случае их использования для обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных, утвержденные руководством 8 Центра ФСБ России 21.02.2008 №149/6/6-622.
Методические рекомендации по обеспечению с помощью криптосредств безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств автоматизации, утвержденные руководством 8 Центра ФСБ России 21.02.2008 №149/54-144.

Слайд 11

Регламенты проведения проверок

Административный регламент проведения проверок Федеральной службой по надзору в сфере

Регламенты проведения проверок Административный регламент проведения проверок Федеральной службой по надзору в
связи, информационных технологий и массовых коммуникаций при осуществлении федерального государственного контроля (надзора) за соответствием обработки персональных данных требованиям законодательства РФ в области персональных данных, утвержденный приказом МинКомСвязи России от 14.11.2011 №312.
Типовой регламент проведения в пределах полномочий мероприятий по контролю (надзору) за выполнением требований, установленных Правительством РФ, к обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, утвержденный руководством 8 Центра ФСБ России 8.08.2009 №149/7/2/6-1173.

Слайд 12

Этапы работ по приведению информационных систем персональных данных в соответствие требованиям законодательства Российской Федерации

Этапы работ по приведению информационных систем персональных данных в соответствие требованиям законодательства Российской Федерации

Слайд 13

Основные этапы работ

Подготовительный (аналитический) этап.
Этап разработки организационно-распорядительных документов.
Этап разработки модели угроз безопасности

Основные этапы работ Подготовительный (аналитический) этап. Этап разработки организационно-распорядительных документов. Этап разработки
персональных данных.
Этап проектирования.
Этап установки средств и систем защиты (СЗИ).
Этап оценки соответствия (аттестации) информационных систем.

Слайд 14

Задачами подготовительного этапа являются:

Выявление фактов обработки ПДн.
Определение технологического процесса обработки ПДн.
Определение правовых

Задачами подготовительного этапа являются: Выявление фактов обработки ПДн. Определение технологического процесса обработки
основ процесса обработки ПДн.
Определение границ рассматриваемых ИСПДн.
Предварительная классификация систем.
Формирование требований, предъявляемых к системе защиты ПДн.

Слайд 15

Результатом подготовительного этапа является:

Отчетный документ по результатам проведенного аналитического
обследования ИСПДн включающий в

Результатом подготовительного этапа является: Отчетный документ по результатам проведенного аналитического обследования ИСПДн
себя:
Описание информационной инфраструктуры организации (топология сети, применяемые технические средства и ПО…).
Описание принятых мер по защите информации.
Перечень выявленных АС, в которых обрабатываются ПДн (ИСПДн).
Перечень ПДн, обрабатываемых в ИСПДн.
Технологический процесс обработки.
Анализ правовых основ обработки информации в выявленных ИСПДн.
Сведения, необходимые для проведения классификации рассматриваемых ИСПДн.
Анализ соответствия процесса обработки ПДн требованиям законодательства РФ в области обеспечения безопасности ПДн;
Предположение классов ИСПДн.

Слайд 16

Задачами этапа разработки организационно-распорядительных документов являются:

Проведение анализа разработанных внутренних организационно-распорядительных документов, регламентирующих

Задачами этапа разработки организационно-распорядительных документов являются: Проведение анализа разработанных внутренних организационно-распорядительных документов,
деятельность организации в области обеспечения информационной безопасности, с подготовкой предложений по их доработке.
Доработка и разработка комплекта проектов внутренних организационно-распорядительных документов (в соответствии с перечнем раздаточного материала).
Внедрение организационно-распорядительных документов, проекты которых были разработаны.
Установка режима защиты ПДн в соответствии с разработанными документами.

Слайд 17

Результатом этапа является:

Комплект актуальных, утвержденных организационно-распорядительных документов.
Режим обеспечения безопасности ПДн, введенный в

Результатом этапа является: Комплект актуальных, утвержденных организационно-распорядительных документов. Режим обеспечения безопасности ПДн,
соответствии с указанными документами.

Слайд 18

Задачами этапа разработки модели угроз безопасности ПДн являются:

Разработка методики определения актуальности угроз

Задачами этапа разработки модели угроз безопасности ПДн являются: Разработка методики определения актуальности
безопасности ПДн и составления модели нарушителя.
Описание нарушителей (субъектов атак) и определение их актуальности.
Описание каналов атак, доступных каждой актуальной категории нарушителей, и определение класса актуальной категории нарушителей.
Формирование исходного перечня угроз безопасности ПДн.
Проведение анализа исходного уровня защищенности ИСПДн.
Проведение анализа вероятности реализации угроз из исходного перечня.
Определение возможности реализации угроз из исходного перечня.
Определение опасности угроз из исходного перечня.
Определение актуальности угроз.

Слайд 19

Результатом этапа является:

Модель угроз безопасности ПДн, включающая в себя:
обоснованное предположение о границах

Результатом этапа является: Модель угроз безопасности ПДн, включающая в себя: обоснованное предположение
контролируемой зоны исследуемого объекта;
методику определения актуальности угроз безопасности информации и составления модели нарушителя;
описание нарушителей (субъектов атак) и определение их актуальности;
описание каналов атак, доступных каждой актуальной категории нарушителей, и определение класса актуальной категории нарушителей;
сформированный (исходный) перечень угроз безопасности ПДн;
анализ исходного уровня защищенности ИСПДн;
анализ вероятности реализации угроз из исходного перечня;
определение возможности реализации угроз из исходного перечня;
определение опасности угроз из исходного перечня;
определение актуальности угроз.

Слайд 20

Задачами этапа проектирования являются:

Выработка конкретных технических решений, удовлетворяющих требованиям, предъявляемым к уровню

Задачами этапа проектирования являются: Выработка конкретных технических решений, удовлетворяющих требованиям, предъявляемым к
обеспечения безопасности информации заданного типа.
Выбор согласующихся между собой средств защиты информации (СЗИ), реализующих указанные выше требования.
Выбор оптимального решения.
Определение мест размещения СЗИ.

Слайд 21

Результатом этапа является:

Технический проект на систему защиты ПДн (СЗПДн),
обрабатываемых в ИСПДн организации,

Результатом этапа является: Технический проект на систему защиты ПДн (СЗПДн), обрабатываемых в
включающий:
общее описание СЗПДн;
пояснительную записку к техническому проекту СЗПДн;
описание комплекса технических средств;
описание программного обеспечения;
описание автоматизируемых функций;
схему автоматизации СЗПДн;
схему функциональной структуры СЗПДн;
структурную схему комплекса технических средств СЗПДн;
логическую схему СЗПДн;
спецификация на оборудование и программное обеспечение;
ведомость покупных изделий;
ведомость технорабочего проекта.

Слайд 22

Задачами этапа установки средств и систем защиты являются:

Закупка средств защиты информации (СЗИ)

Задачами этапа установки средств и систем защиты являются: Закупка средств защиты информации
в соответствии с разработанной проектной документацией.
Установка и настройка необходимых СЗИ в соответствии с разработанной проектной документацией, требованиями руководящих и нормативно-методических документов.
Разработка приказа о контролируемой зоне.
Разработка перечня защищаемых ресурсов.
Разработка разрешительной системы доступа к защищаемым ресурсам.
Разработка проекта технического паспорта.

Слайд 23

Результатом этапа является:

Утвержденные:
приказ о контролируемой зоне;
перечень защищаемых ресурсов;
разрешительная система (матрица) доступа к

Результатом этапа является: Утвержденные: приказ о контролируемой зоне; перечень защищаемых ресурсов; разрешительная
защищаемым ресурсам;
технический паспорт.
Установленная и настроенная в соответствии с техническим проектом, введенная в эксплуатацию система защиты персональных данных.

Слайд 24

Задачами этапа оценки соответствия (аттестации) информационных систем являются:

Оценка качества и полноты реализованных

Задачами этапа оценки соответствия (аттестации) информационных систем являются: Оценка качества и полноты
организационно-режимных и технических мер защиты информации (ПДн).
Разработка заключения по результатам оценочных испытаний.
Оформление заключения о соответствии требованиям по безопасности информации (либо аттестата соответствия требованиям по безопасности информации)

Слайд 25

Результатом этапа является:

Заключения о соответствии требованиям по безопасности информации
Либо
Аттестат соответствия требованиям по

Результатом этапа является: Заключения о соответствии требованиям по безопасности информации Либо Аттестат
безопасности информации (К1)
Имя файла: Приведение-информационных-систем-персональных-данных-в-соответствие-требованиям-законодательства-Российской-Федерации.pptx
Количество просмотров: 222
Количество скачиваний: 1