Какие документы должны быть у оператора персональных данных

Что должно быть у Оператора ПДн в части нормативного обеспечения

Генеральный директорКонстантин Бажин

Небольшая часть наших клиентов

2© КБ-Информ | [email protected] | www.kbinform.ru

Основные направления деятельности

3

• Защита ПДн• Разработка необходимой документации• Поставка средств защиты• Аттестация ИСПДн

• NEW Абонентское обслуживание от 5,5 т.р. – 100% гарантия поддержки соответствия требованиям закона на всем протяжении действия контракта.

Квалификация специалистов компании и высокий уровень качества оказания услуг подтвержден лицензиями на защиту информации и различными сертификатами

© КБ-Информ | [email protected] | www.kbinform.ru

Аудит и идентификация информационных систем


Аудит

5

Определить состав обрабатываемых ПДн, цели и условия обработки. Определить срок хранения ПДн.• изучение внутренней и внешней организационно-

распорядительной документации;• интервьюирование должностных лиц и

специалистов оператора;• идентификация точек входа и выхода информации

ограниченного распространения и пути её миграции в структуре оператора;

• изучение содержания входящих и исходящих информационных потоков всех типов и направлений;


Аудит

6

• выявление в информационных потоках, сопровождающих бизнес-процессы оператора, персональных данных и других видов информации ограниченного распространения, обрабатываемых как с использованием, так и без использования средств автоматизации;

• анализ оснований и установление категорий и степеней конфиденциальности выявленных персональных данных и других видов информации ограниченного распространения, циркулирующих в структуре оператора;


Аудит

7

• идентификация ИСПДн - выделение в ИТ-инфраструктуре предприятия областей (отдельных рабочих станций, узлов и сегментов сети), в которых осуществляется обработка ПДн, определение границ контролируемых зон для выделенных областей, присвоение наименований отдельным ИСПДн в составе ИТ- инфраструктуры предприятия, утверждение перечня защищаемых ИСПДн приказом руководителя предприятия;

• определение уровня защищенности ИСПДн - присвоение каждой идентифицированной ИСПДн уровня защищенности, соответствующего её индивидуальным признакам, с составлением акта классификации каждой ИСПДн.


Аудит

8

Идентификация ИСПДн включает в себя следующие блоки работ:Изучение бизнес-процессов• Необходимо идентифицировать и описать бизнес-процессы,

связанные с обработкой ПДн. Определить, с помощью каких программных и технических средств реализуется каждый из этих процессов.

Составление схемы сети• Необходимо составить функциональную схему

корпоративной сети организации, на которой отметить технические средства, задействованные в обработке ПДн, и показать линии связи, по которым осуществляется передача ПДн.


Аудит

9

Составление карты сети• Необходимо составить карту сети, на которой указать помещения,

серверы, АРМ, прочие технические средства, используемые для обработки ПДн, места прокладки линий, по которым передаётся защищаемая информация.

Сегментация сети• Используя представление о бизнес-процессах, схему и карту сети,

необходимо выделить в инфраструктуре сети отдельные совокупности технических средств - сегменты сети, в каждом из которых:

• обрабатываются исключительно свойственные для данной совокупности технических средств категории ПДн;

• ставятся цели обработки ПДн, отличные от целей обработки ПДн в других сегментах сети.


Аудит

10

Разработка модели угроз:• Определение общего перечня угроз безопасности

ПДн• Определение уровня исходной защищённости

ИСПДн• Расчёт актуальности полученных угроз

безопасности ПДн для анализируемой ИСПДн• Создание документа «Модель угроз безопасности

персональных данных при их обработке в ИСПДн»


Разработка ОРД

11



12

• Политика информационной безопасности;• Политика обработки и обеспечения безопасности ПДн;

• Журнал ознакомления с регламентами обеспечения безопасности ПДн;

• Журнал учета мероприятий по обеспечению безопасности ПДн в ИСПДн;

• Журнал учета обращений субъектов ПДн;• Журнал учета случаев нарушения режима безопасности

ПДн;• Журнал учета съёмных носителей ПДн в ИСПДн;



13

• Инструкция администратора информационной безопасности;

• Инструкция администратора ИСПДн;• Инструкция по использованию корпоративной сети

передачи данных;• Инструкция по использованию электронной почты

общего пользования;• Инструкция пользователя ИСПДн;• Инструкция пользователя по обеспечению безопасности

обработки ПДн при возникновении нештатных ситуаций;• Инструкция по организации парольной защиты ИСПДн;



14

• Матрица доступа пользователей к ИСПДн;• Перечень ИСПДн;• Перечень общедоступной информации;• Перечень ПДн подлежащих защите,

обрабатываемых в ИСПДн;• Перечень по учету применяемых средств защиты

информации, эксплуатационной и технической документации к ним;

• Перечень лиц, допущенных к обработке ПДн;



15

• План внутренних проверок состояния защиты ПДн, обрабатываемых в ИСПДн;

• План мероприятий по обеспечению безопасности ПДн, обрабатываемых в ИСПДн;

• Положение об использовании сети Интернет;• Положение об обеспечении безопасности ПДн;• Положение об обработке ПДн без использования

средств автоматизации;• Положение об организации пропускного режима

и о порядке допуска в служебные помещения;



16

• Положение об организации оформления, учёта и хранения письменных согласий субъектов ПДн на обработку их ПДн, а также информирования субъектов ПДн об обработке их ПДн;

• Положение о порядке работы с электронным журналом обращений пользователей ИСПДн к обрабатываемым ПДн;

• Положение о разграничении прав доступа к обрабатываемым ПДн в ИСПДн;

• Порядок информирования субъектов ПДн об обработке их ПДн;



17

• Порядок определения уровня защищённости ПДн, при обработке в ИСПДн;

• Порядок реагирования на проведение проверки уполномоченным органом по защите прав субъектов ПДн;

• Порядок резервного копирования и восстановления работоспособности ТС и ПО, БД и СЗИ в ИСПДн;

• Порядок учёта, хранения, обращения и уничтожения носителей ПДн;



18

• Приказ об определении границ КЗ, закреплении помещений, предназначенных для обработки ПДн;

• Приказ об электронном журнале обращений пользователей ИСПДн;

• Приказ об электронном журнале учета случаев нарушения безопасности ПДн;

• Приказ об электронном журнале учёта мероприятий по обеспечению безопасности ПДн в информационных системах ПДн;

• Приказ о журнале ознакомления с регламентами обеспечения ИБ;

• Приказ о журнале учета случаев нарушения режима безопасности ПДн;



19

• Приказ о журнале учета обращений субъектов ПДн о выполнении их законных прав, при обработке ПДн в ИСПДн;

• Приказ об электронном журнале учёта мероприятий по обеспечению безопасности ПДн в ИСПДн;

• Приказ о журнале учёта съёмных носителей ПДн в ИСПДн;

• Приказ о закреплении автоматизированных рабочих мест, предназначенных для обработки ПДн;

• Приказ об обеспечении безопасности ПДн в ИСПДн;



20

• Приказ об утверждении мест хранения ПДн;• Приказ о назначении ответственных лиц за

обеспечение безопасности ПДн в ИСПДн;• Приказ о перечне ИСПДн;• Приказ о перечне общедоступной информации;• Приказ о перечне по учёту применяемых СЗИ,

эксплуатационной и технической документации к ним;



21

• Приказ о перечне ПДн, подлежащих защите, обрабатываемых в ИСПДн;

• Приказ о перечне лиц, допущенных к обработке ПДн;

• Приказ о проведении обследования ИСПДн;• Требования по обеспечению безопасности ПДн в

ИСПДн;• Соглашение о неразглашении ПДн;


Проектирование СЗПДн

22



23

Выполняемые работы: • Разработка требований по обеспечению

безопасности ПДн при обработке в ИСПДн• Разработка технического задания• Проектирование СЗПДн• Внедрение и контроль• Разработка документации



24

Разработка требований по обеспечению безопасности ПДн при обработке в ИСПДн• Для каждой из ИСПДн, используемых в организации, с

учётом их уровня, обрабатываемых персональных данных, особенностей и условий функционирования выполняется разработка требований по обеспечению безопасности ПДн при обработке в ИСПДн, определяющих необходимые для реализации меры обеспечения безопасности.

• Данные требования являются основой для разработки технического задания, выбора средств защиты и технического проектирования.



25

Разработка технического заданияТиповое техническое задания содержит следующие разделы:• обоснование разработки СЗПДн;• исходные данные создаваемой (модернизируемой) ИСПДн в техническом,

программном, информационном и организационном аспектах;• уровень ИСПДн;• ссылку на нормативные документы;• конкретизацию мероприятий и требований к СЗПДн;• перечень предполагаемых к использованию сертифицированных средств

защиты информации;• обоснование проведения разработок собственных средств защиты

информации;• состав, содержание и сроки проведения работ по этапам разработки и

внедрения СЗПДн.



26

Проектирование СЗПДнСистема защиты в типовом варианте представляет собой совокупность следующих подсистем:• управления доступом;• регистрации и учёта;• обеспечения целостности;• криптографической защиты;• антивирусной защиты;• анализа защищенности;• обнаружения вторжений.



27

Внедрение и контроль• Внедрение разработанных при проектировании

ИСПДн технических решений осуществляется в соответствии с технической документацией на внедряемые средства и системы.

• Контроль защищённости информации от НСД проводится с помощью сертифицированных сканеров уязвимостей.



28

Разработка документацииВвод СЗПДн в эксплуатацию предполагает собой не только внедрение технических средств, но и разработку пакета организационной и методической документации, позволяющей эффективно оценивать и контролировать состояние защищённости ИСПДн.• Инструкции• Регламенты• Журналы


Аттестация ИСПДн

29


Аттестация

30

Аттестация - комплекс организационно-технических мероприятий, в результате которых подтверждается, что объект информатизации соответствует требованиям стандартов или иных нормативных документов по безопасности информации. Целями выполняемых работ являются подтверждение работоспособности информационной системы организации с внедрёнными в её инфраструктуру средствами и системами защиты ПДн и подтверждение соответствия каждой идентифицированной ИСПДн требованиям к безопасности информации.


Постоянный контроль

31


Контроль

32

Целью контроля за обеспечением уровня защищённости ПДн является проверка того, что процессы и системы обработки и защиты ПДн в организации:

• соответствуют требованиям, предъявляемым законодательством к защите и обработке персональных данных;

• эффективно реализованы и сопровождаются;• выполняются в соответствии с ожиданиями,

сформированными при проектировании и внедрении системы защиты персональных данных.


Ответственность


Санкции за несоблюдение требований закона

Ответственность КоАП

34

Статья 13.11.Нарушение порядка сбора, хранения, использования или распространения информации о гражданах (ПДн).

• предупреждение• штраф на граждан в размере от 300 до 500 рублей;• штраф на должностных лиц от 500 до 1 000 рублей;• штраф на юридических лиц от 5 000 до 10 000 рублей.Статья 13.12.

Нарушение правил защиты информации.1. Нарушение условий, предусмотренных лицензией на осуществление

деятельности в области защиты информации (за исключением информации, составляющей государственную тайну).

• штраф на граждан в размере от 300 до 500 рублей;• штраф на должностных лиц - от 500 до 1 000 рублей;• штраф на юридических лиц - от 5 000 до 10 000 рублей.



35

Статья 13.12.Нарушение правил защиты информации.

2. Использование несертифицированных информационных систем, баз и банков данных, а также несертифицированных средств защиты информации, если они подлежат обязательной сертификации (за исключением средств защиты информации, составляющей государственную тайну).

• штраф на граждан в размере от 500 до 1 000 рублей с конфискацией несертифицированных средств защиты информации или без таковой;

• штраф для должностных лиц - от 1 000 до 2 000 рублей;• штраф для юридических лиц - от 10 000 до 20 000 рублей с

конфискацией несертифицированных средств защиты информации или без таковой.



36

Статья 13.14.Разглашение информации, доступ к которой ограничен федеральным законом (за исключением случаев, если разглашение такой информации влечет уголовную ответственность), лицом, получившим доступ к такой информации в связи с исполнением служебных или профессиональных обязанностей.

• штраф на граждан в размере от 500 до 1 000 рублей;• штраф на должностное лицо - от 4 000 до 5 000 рублей.



37

Статья 19.7.Непредставление или несвоевременное представление в государственный орган сведений, представление которых предусмотрено законом и необходимо для осуществления этим органом его законной деятельности, а равно представление их в неполном объеме или в искаженном виде.

Штраф:• на граждан в размере от 100 до 300 рублей• на должностных лиц - от 300 до 500 рублей• на юридических лиц - от 3 000 до 5 000 рублей


Ответственность УК

38

Статья 137.Нарушение неприкосновенности частной жизни.

1. Незаконное собирание или распространение сведений о частной жизни лица, составляющих его личную или семейную тайну, без его согласия либо распространение этих сведений в публичном выступлении, публично демонстрирующемся произведении или средствах массовой информации:

• штраф в размере до 200 000 рублей или в размере заработной платы или иного дохода осужденного за период до 18 месяцев,

• либо обязательные работы на срок от 120 до 180 часов,• либо исправительные работы на срок до 1 года,• либо арест на срок до 4 месяцев.



39

Статья 137.Нарушение неприкосновенности частной жизни.

2. Те же деяния, совершенные лицом с использованием своего служебного положения:

• штраф в размере от 150 000 до 300 000 рублей или в размере заработной платы или иного дохода осужденного за период от одного года до 2 лет,

• либо лишение права занимать определенные должности или• заниматься определенной деятельностью на срок от 2 до 5 лет,• либо арест на срок от 4 до 6 месяцев.



40

Статья 272.Неправомерный доступ к компьютерной информации.1. Неправомерный доступ к охраняемой законом компьютерной

информации, то есть информации на машинном носителе, в электронно-вычислительной машине (ЭВМ), системе ЭВМ или их сети, если это деяние повлекло уничтожение, блокирование, модификацию либо копирование информации, нарушение работы ЭВМ, системы ЭВМ или их сети.

• штраф до 200 000 рублей или в размере заработной платы или иного дохода осужденного за период до 18 месяцев,

• либо исправительными работами на срок от 6 месяцев до 1 года,• либо лишением свободы на срок до 2 лет



41

Статья 272.Неправомерный доступ к компьютерной информации.2. То же деяние, совершенное группой лиц по предварительному

сговору или организованной группой либо лицом с использованием своего служебного положения, а равно имеющим доступ к ЭВМ, системе ЭВМ или их сети.

• штраф от 100 000 до 300 000 рублей или в размере заработной платы или иного дохода осужденного за период от 1 года до 2 лет,

• либо исправительными работами на срок от 1 года до 2 лет,• либо арестом на срок от 3 до 6 месяцев,• либо лишением свободы на срок до 5 лет.



42

Статья 274.Нарушение правил эксплуатации ЭВМ, системы ЭВМ или их сети.1. Нарушение правил эксплуатации ЭВМ, системы ЭВМ или их сети

лицом, имеющим доступ к ЭВМ, системе ЭВМ или их сети, повлекшее уничтожение, блокирование или модификацию охраняемой законом информации ЭВМ, если это деяние причинило существенный вред

• лишение права занимать определенные должности или заниматься определенной деятельностью на срок до 5 лет,

• либо обязательные работы на срок от 180 до 240 часов,• либо ограничение свободы на срок до 2 лет.2. То же деяние, повлекшее по неосторожности тяжкие последствия.• лишение свободы на срок до 4 лет.


Тенденции


Статистика и прогнозы

Тенденции


Тенденции


Размер штрафных санкций, руб.

46

• Предлагается увеличить в 1,5 - 2,5 раза штрафы за использование несертифицированных информационных систем, баз и банков данных, а также несертифицированных средств защиты информации

• Предлагается установить административную ответственность за нарушение требований о защите информации, установленных федеральными законами и принятыми в соответствии с ними нормативными правовыми актами РФ, в виде штрафа для граждан от 500 до 1 тысяч рублей, для должностных лиц — от 1 тысяч до 2 тысяч и для юр лиц — от 10 тысяч до 15 тысяч рублей.


Спасибо за внимание, вопросы?Константин Бажин, генеральный директор[email protected]+7 (905) 824-55-44


Business

Какие документы должны быть у оператора персональных данных