Upload
-
View
1.330
Download
1
Embed Size (px)
Citation preview
№ Пр-1895 от 9 сентября 2000 г. Президента Российской
Федерации
Доктрина информационной безопасности Российской
Федерации
Федеральный закон от 27.12.2009 г. №363-ФЗ
«О внесении изменений в статьи 19 и 25 Федерального закона "О персональных данных"»
Федеральный закон от 27.07.2006 г. № 149-ФЗ
«Об информации, информационных технологиях и
о защите информации»
Федеральный закон от 27.07.2006 г. № 152-ФЗ
«О персональных данных»
Постановление Правительства Российской Федерации от
17.11.2007 г. № 781
«Об утверждении положения об обеспечении безопасности
персональных данных при их обработке в информационных
системах персональных данных»
Приказ Минкомсвязи РФ от 30.01.2010 № 17
"Об утверждении Административного регламента исполнения ФАИТ государственной функции по
организации ведения единого государственного реестра сертификатов
ключей подписей удостоверяющих центров "
Приказ Минкомсвязи РФ от 30.01.2010 № 18
"Об утверждении Административного регламента Роскомнадзора по
исполнению государственной функции "Ведение реестра операторов,
осуществляющих обработку персональных данных""
Приказ Минкомсвязи РФ от 10.07.2009 № 92
«Об утверждении Административного регламента предоставления ФАИТ
государственной услуги по подтверждению подлинности
электронных цифровых подписей уполномоченных лиц "
Приказ Минкомсвязи РФ от 25.08.2009 г № 104
«Об утверждении Требований по обеспечению целостности, устойчивости
функционирования и безопасности информационных систем общего
пользования»
Приказ ФСТЭК РФ № 58 от 05.02.2010
"Об утверждении положения о методах и способах защиты информации в
информационных системах персональных данных"
Приказ ФСТЭК РФ № 55, ФСБ РФ № 86, Мининформсвязи РФ №
20 от 13.02.2008
«Об утверждении Порядка проведения классификации информационных
систем персональных данных»
ИКТ
информационно-коммуникационных технологий
• Министр связи и массовых коммуникаций РФ
Министр связи и массовых коммуникаций РФ
• И.О.Щёголев
Департаменты
• Департамент государственной политики в области связи• Департамент государственной политики в области информатизации и
информационных технологий• Департамент государственной политики в области средств массовой
информации• Департамент цифрового телевидения и использования новых
технологий в средствах массовых коммуникаций• Департамент научно-технического и стратегического развития отрасли• Департамент информации и общественных связей• Департамент экономики и финансов• Правовой департамент• Департамент международного сотрудничества• Административный департамент
Агентства и служба
• Федеральное агентство связи• Федеральное агентство по печати и
массовым коммуникациям• Федеральная служба по надзору в сфере
связи, информационных технологий и массовых коммуникаций
РОСКОМНАДЗОР
Федеральная служба по надзору в сфере связи, информационных технологий и
массовых коммуникаций
Структура Роскомнадзора
Агентства и служба
• Федеральное агентство связи• Федеральное агентство по печати и
массовым коммуникациям• Федеральная служба по надзору в сфере
связи, информационных технологий и массовых коммуникаций
Под электронным правительством понимается
новая форма организации деятельности органов государственной власти, обеспечивающая за счет
широкого применения информационно-коммуникационных технологий (ИКТ) качественно
новый уровень оперативности и удобства получения организациями и гражданами государственных услуг и информации о результатах деятельности
государственных органов.
УЗПСПД
Управлении по защите прав субъектов персональных данных Федеральной
службы по надзору в сфере связи, информационных технологий и
массовых коммуникаций
Начальник управления УЗПСПД
Васильева Лариса Борисовна
27-28 октября 2010 года, ФГУ ОК «БОР» Управление делами
Президента Российской Федерации
Первая международная конференция «ЗАЩИТА
ПЕРСОНАЛЬНЫХ ДАННЫХ»
категория 1 -
персональные данные, касающиеся расовой, национальной
принадлежности, политических взглядов, религиозных и
философских убеждений, состояния здоровья, интимной жизни;
категория 2 -
персональные данные, позволяющие идентифицировать субъекта персональных данных и получить о нем дополнительную информацию, за исключением
персональных данных, относящихся к категории 1;
категория 3 -
персональные данные, позволяющие идентифицировать субъекта персональных данных;
категория 4 -
обезличенные и (или) общедоступные персональные
данные.
Принятые термины и сокращения
АС
автоматизированная система
ИБ
информационная безопасность
ИС
информационная система
ИСПДн
информационная система персональных данных
Оператор ПДн государственный орган,
муниципальный орган, юридическое или физическое лицо, организующие и (или) осуществляющие обработку
персональных данных, а также определяющие цели и содержание обработки персональных данных
ПДн
персональные данные
ПО
Программное обеспечение
Россвязькомнадзор
Федеральная служба по надзору в сфере связи и массовых
коммуникаций.
СЗПДн
система защиты персональных данных
СТР-К
Специальные требования и рекомендации по технической
защите конфиденциальной информации
ТЗ
техническое задание
ФЗ
Федеральный закон
ФСБ
Федеральная служба безопасности Российской
Федерации
ФСТЭК
Федеральная служба по техническому и экспортному
контролю
Средства для защиты персональных данных
КРИПТОН-ЗАМОК (Изделие М-526, М-526А, М-526Б)
аппаратно-программный комплекс разграничения и контроля доступа пользователей к техническим средствам вычислительной сети (серверам и рабочим станциям) и к
аппаратным ресурсам компьютеров, для управления и инициализации УКЗИ КРИПТОН AncNet Pro, КРИПТОН-IDE,
сетевыми адаптерами AncNet, а также контроля целостности установленной на компьютере программной среды под любые ОС, использующие файловые системы
FAT12, FAT16, FAT32 и NTFS (Windows NT 4.0 и Windows 2000/XP/2003), а так же Ext2, Ext3 (Unix-системы)
Crypton Disk для Windows 95/98/ME/2000/NT
4.0/XP/2003
программа прозрачного шифрования логических дисков. Создает с помощью
устройства КРИПТОН или Crypton Emulator виртуальный логический
диск, шифруемый в автоматическом режиме
Crypton IP Mobile для Windows 2000/XP/2003
программный комплекс предназначенный для организации виртуальной закрытой сети (VPN), который позволяет пользователям (в
том числе и удаленным) устанавливать обмен зашифрованной информацией друг с
другом; поставляется в дополнение к устройствам КРИПТОН в комплекте с ПО
КРИПТОН для Windows или к Crypton Emulator для Windows
КРИПТОН-LITE для Windows 95/98/ME/NT
4.0/2000/XP/2003
комплект СКЗИ, включающий в себя Crypton Emulator, КРИПТОН-
Шифрование и КРИПТОН-Подпись
КРИПТОН
Почта для Linux - программа для организации защищённых почтовых
каналов в открытой сети Интернет (на базе свободно распространяемого
почтового транспортного агента (MTA) Sendmail (GPL))
РУТОКЕН - USB
носитель с защищённой памятью для хранения ключевой информации
Crypton Office для приложений MS Office
Пакет прикладных программ, предназначенных для встраивания в приложения MS Office, предоставляет
пользователю возможность использования функций шифрования и электронно-цифровой подписи в среде
MS Word, Excel и Outlook
Crypton ArcMail Windows 95/98/ME/2000/NT
4.0/XP/2003 единый сервис архивирования,
архивного и абонентского шифрования и ЭЦП. Симметричная и ассиметричная ключевые системы, открытый ключ 512
и 1024 бит
Crypton Lock для Windows NT 4.0/2000/XP/2003
модуль для санкционированного входа в операционную систему по
предъявлению брелока РУТОКЕН
Crypton Wipe для Windows-95/98/ME/NT
4.0/2000/XP/2003 гарантированное уничтожение информации. Для усложнения
восстановления удаляемой информации файлы предварительно
шифруются
Терминология по защите персональных данных
Автоматизированная система (AC)
Система, состоящая из персонала и комплекса средств автоматизации его
деятельности, реализующая информационную технологию
выполнения установленных функций
Администратор базы данных
Специальное должностное лицо (группа лиц), имеющий(ие) полное
представление о базе данных и отвечающее за ее ведение,
использование и развитие. Входит в состав администрации банка данных
Администратор базы данных
Лицо, имеющее полное представление о данных, используемых в учреждении
(на предприятии), и отвечающее за хранение, обновление и организацию
их использования
Администратор защиты
Субъект доступа, ответственный за защиту автоматизированной системы от
несанкционированного доступа к информации
Администратор системы (системный
администратор)
Лицо, отвечающее за эксплуатацию системы и поддержание ее в работоспособном состоянии
Аттестация
Оценка на соответствие определенным нормативным требованиям
Аутентификация
Подтверждение подлинности
База данных Это объективная форма представления
и организации совокупности данных (статей, расчетов и т.д.),
систематизированных таким образом, чтобы эти данные могли быть найдены и
обработаны с помощью электронной вычислительной машины (ЭВМ) (закон
«О правовой охране программ для ЭВМ и баз данных»)
База данных
Совокупность данных, организованных по определенным правилам,
предусматривающим общие принципы описания, хранения и манипулирования данными, независимая от прикладных
программ
Биометрические данные
Совокупность данных, организованных по определенным правилам,
предусматривающим общие принципы описания, хранения и манипулирования данными, независимая от прикладных
программ
Блокирование персональных данных
временное прекращение сбора, систематизации, накопления,
использования, распространения персональных данных, в том числе их
передачи
Блокировка
Изоляция или приведение объекта в состояние, препятствующее выполнению
определенных действий
Вредоносные программы
Программы или измененные программы ОИ (СПД), приводящие к
несанкционированному уничтожению, блокированию, модификации либо
копированию информации, нарушению работы ОИ (СПД) и другим негативным
последствиям в отношении ОИ (СПД)
Государственная тайна
Защищаемые государством сведения в области его военной,
внешнеэкономической, экономической, разведывательной,
контрразведывательной и оперативно-розыскной деятельности,
распространение которых может нанести ущерб безопасности государства
Государственные информационные ресурсы Это информационные ресурсы, включающие в себя отдельные
документы и отдельные массивы документов, документы и массивы документов в информационных системах (библиотеках, архивах,
фондах, банках данных и других информационных системах), создаваемые для обеспечения деятельности органов государственной
власти и вырабатываемые в результате этой деятельности, а также ресурсы, создаваемые негосударственными организациями по заказам и
в интересах органов государственной власти Государственные информационные ресурсы подразделяются на: федеральные;
совместного ведения федеральными органами государственной власти и органами государственной власти субъектов Российской Федерации;
субъектов Российской Федерации
Гриф секретности
Реквизиты, свидетельствующие о степени секретности сведений, содержащихся в их носителе,
проставляемые на самом носителе и (или) сопроводительной документации
на него (закон «О государственной тайне»)
Данные
Информация, представленная в виде, пригодном для обработки
автоматическими средствами при возможном участии человека (ГОСТ
15971-84)
Защита информации (ЗИ)
Деятельность по предотвращению утечки защищаемой информации,
несанкционированных и непреднамеренных воздействий на защищаемую информацию (ГОСТ Р
50922-96)
Защита информации от непреднамеренного воздействия
Деятельность по предотвращению воздействия на защищаемую информацию ошибок пользователя
информацией, сбоя технических и программных средств информационных систем, а также природных явлений или
иных целенаправленных на изменение информации воздействий, связанных с функционированием технических средств, систем или с деятельностью людей, приводящих к искажению, уничтожению, копированию, блокированию
доступа к информации, а также к утрате, уничтожению или сбою функционирования носителя информации (ГОСТ Р
50922-96)
Информационная система
Совокупность содержащейся в базах данных информации и обеспечивающих
ее обработку информационных технологий и технических средств
(Федеральный закон «Об информации, информационных технологиях и защите
информации»)
Информационная система персональных данных
средств информационная система, представляющая собой совокупность
персональных данных, содержащихся в базе данных, а также информационных технологий
и технических средств, позволяющих осуществлять обработку таких персональных
данных с использованием автоматизации или без использования таких средств
Информационная технология
Приемы, способы и методы применения средств вычислительной техники при
выполнении функций сбора, обработки, хранения, обработки, передачи и
использования данных (ГОСТ 34.003-90)
Информация
Сведения о лицах, предметах, событиях, явлениях и процессах независимо от формы
их представления, используемые в целях получения знаний, принятия решений (ГОСТ
Р50922-96)
Информация ограниченного доступа
Конфиденциальная информация, включающая сведения, составляющие
банковскую, коммерческую, служебную, личную или другие тайны, на распространение
которых в установленном порядке накладываются ограничения
Использование персональных данных
действия (операции) с персональными данными, совершаемые оператором в целях
принятия решений или совершения иных действий, порождающих юридические
последствия в отношении субъекта персональных данных или других лиц либо
иным образом затрагивающих права и свободы субъекта персональных данных или
других лиц
Категория защищаемой информации
Степень конфиденциальности сведений, присваиваемая информации согласно положениям законодательных актов
Российской Федерации
категория 1
персональные данные, касающиеся расовой, национальной принадлежности, политических
взглядов, религиозных и философских убеждений, состояния здоровья, интимной
жизни
Категория 2
персональные данные, позволяющие идентифицировать субъекта персональных данных и получить о нем дополнительную
информацию, за исключением персональных данных, относящихся к категории 1
Категория 3
персональные данные, позволяющие идентифицировать субъекта персональных
данных
Категория 4
обезличенные и (или) общедоступные персональные данные
Коммерческая тайна Научно-техническая, технологическая,
коммерческая, организационная или иная используемая в экономической деятельности
информация, имеющая действительную потенциальную коммерческую ценность в силу ее неизвестности третьим лицам, которые могли бы
получить выгоду от ее разглашения или использования, к которой нет свободного доступа на
законном основании и по отношению, к которой принимаются адекватные ей ценности, меры охраны
Конфиденциальная информация
Документированная информация, доступ к которой ограничивается в соответствии с
законодательством Российской Федерации
Конфиденциальность персональных данных
обязательное для соблюдения оператором или иным получившим доступ к
персональным данным лицом требование не допускать их распространение без согласия
субъекта персональных данных или наличия иного законного основания
Лицензиат в области защиты информации
Сторона в лицензионном соглашении, получающая право на проведение работ в
области защиты информации
Лицензия
Представление права использовать защищенные патентами изобретения,
технологии
Межсетевой экран Это локальное (однокомпонентное) или
функционально распределенное программное (программно-аппаратное) средство (комплекс),
реализующее контроль пакетов, поступающих в АП и/или выходящих из АП в рамках определенных
протоколов. МЭ обеспечивает защиту АП посредством фильтрации пакетов, т.е. их анализа по совокупности критериев и принятия решения об их
распространении в (из) АП на основе заданных правил, проводя, таким образом, разграничение
доступа субъектов из одной сети к объектам другой сети
Нарушение
Несоответствие установленным требованиям или нормам
Нарушитель (злоумышленник)
Лицо или организация, заинтересованное в получении возможности
несанкционированного доступа к защищаемым ресурсам или совершившее его
Носитель информации
Физическое лицо или материальный объект, в том числе физические поля, в которых
информация находит свое отображение в виде символов, образов, сигналов, технических
решений и процессов (ГОСТ Р 50922-96)