№ Пр-1895 от 9 сентября 2000 г. Президента Российской

Федерации

Доктрина информационной безопасности Российской

Федерации

Федеральный закон от 27.12.2009 г. №363-ФЗ

«О внесении изменений в статьи 19 и 25 Федерального закона "О персональных данных"»

Федеральный закон от 27.07.2006 г. № 149-ФЗ

«Об информации, информационных технологиях и

о защите информации»

Федеральный закон от 27.07.2006 г. № 152-ФЗ

«О персональных данных»

Постановление Правительства Российской Федерации от

17.11.2007 г. № 781

«Об утверждении положения об обеспечении безопасности

персональных данных при их обработке в информационных

системах персональных данных»

Приказ Минкомсвязи РФ от 30.01.2010 № 17

"Об утверждении Административного регламента исполнения ФАИТ государственной функции по

организации ведения единого государственного реестра сертификатов

ключей подписей удостоверяющих центров "

Приказ Минкомсвязи РФ от 30.01.2010 № 18

"Об утверждении Административного регламента Роскомнадзора по

исполнению государственной функции "Ведение реестра операторов,

осуществляющих обработку персональных данных""

Приказ Минкомсвязи РФ от 10.07.2009 № 92

«Об утверждении Административного регламента предоставления ФАИТ

государственной услуги по подтверждению подлинности

электронных цифровых подписей уполномоченных лиц "

Приказ Минкомсвязи РФ от 25.08.2009 г № 104

«Об утверждении Требований по обеспечению целостности, устойчивости

функционирования и безопасности информационных систем общего

пользования»

Приказ ФСТЭК РФ № 58 от 05.02.2010

"Об утверждении положения о методах и способах защиты информации в

информационных системах персональных данных"

Приказ ФСТЭК РФ № 55, ФСБ РФ № 86, Мининформсвязи РФ №

20 от 13.02.2008

«Об утверждении Порядка проведения классификации информационных

систем персональных данных»

ИКТ

информационно-коммуникационных технологий

• Министр связи и массовых коммуникаций РФ

Министр связи и массовых коммуникаций РФ

• И.О.Щёголев

Департаменты

• Департамент государственной политики в области связи• Департамент государственной политики в области информатизации и

информационных технологий• Департамент государственной политики в области средств массовой

информации• Департамент цифрового телевидения и использования новых

технологий в средствах массовых коммуникаций• Департамент научно-технического и стратегического развития отрасли• Департамент информации и общественных связей• Департамент экономики и финансов• Правовой департамент• Департамент международного сотрудничества• Административный департамент

Агентства и служба

• Федеральное агентство связи• Федеральное агентство по печати и

массовым коммуникациям• Федеральная служба по надзору в сфере

связи, информационных технологий и массовых коммуникаций

РОСКОМНАДЗОР

Федеральная служба по надзору в сфере связи, информационных технологий и

массовых коммуникаций

Структура Роскомнадзора

Агентства и служба

• Федеральное агентство связи• Федеральное агентство по печати и

массовым коммуникациям• Федеральная служба по надзору в сфере

связи, информационных технологий и массовых коммуникаций

Под электронным правительством понимается

новая форма организации деятельности органов государственной власти, обеспечивающая за счет

широкого применения информационно-коммуникационных технологий (ИКТ) качественно

новый уровень оперативности и удобства получения организациями и гражданами государственных услуг и информации о результатах деятельности

государственных органов.

УЗПСПД

Управлении по защите прав субъектов персональных данных Федеральной

службы по надзору в сфере связи, информационных технологий и

массовых коммуникаций

Начальник управления УЗПСПД

Васильева Лариса Борисовна

27-28 октября 2010 года, ФГУ ОК «БОР» Управление делами

Президента Российской Федерации

Первая международная конференция «ЗАЩИТА

ПЕРСОНАЛЬНЫХ ДАННЫХ»

категория 1 -

персональные данные, касающиеся расовой, национальной

принадлежности, политических взглядов, религиозных и

философских убеждений, состояния здоровья, интимной жизни;

категория 2 -

персональные данные, позволяющие идентифицировать субъекта персональных данных и получить о нем дополнительную информацию, за исключением

персональных данных, относящихся к категории 1;

категория 3 -

персональные данные, позволяющие идентифицировать субъекта персональных данных;

категория 4 -

обезличенные и (или) общедоступные персональные

данные.

Принятые термины и сокращения

АС

автоматизированная система

ИБ

информационная безопасность

ИС

информационная система

ИСПДн

информационная система персональных данных

Оператор ПДн государственный орган,

муниципальный орган, юридическое или физическое лицо, организующие и (или) осуществляющие обработку

персональных данных, а также определяющие цели и содержание обработки персональных данных

ПДн

персональные данные

ПО

Программное обеспечение

Россвязькомнадзор

Федеральная служба по надзору в сфере связи и массовых

коммуникаций.

СЗПДн

система защиты персональных данных

СТР-К

Специальные требования и рекомендации по технической

защите конфиденциальной информации

ТЗ

техническое задание

ФЗ

Федеральный закон

ФСБ

Федеральная служба безопасности Российской

Федерации

ФСТЭК

Федеральная служба по техническому и экспортному

контролю

Средства для защиты персональных данных

КРИПТОН-ЗАМОК (Изделие М-526, М-526А, М-526Б)

аппаратно-программный комплекс разграничения и контроля доступа пользователей к техническим средствам вычислительной сети (серверам и рабочим станциям) и к

аппаратным ресурсам компьютеров, для управления и инициализации УКЗИ КРИПТОН AncNet Pro, КРИПТОН-IDE,

сетевыми адаптерами AncNet, а также контроля целостности установленной на компьютере программной среды под любые ОС, использующие файловые системы

FAT12, FAT16, FAT32 и NTFS (Windows NT 4.0 и Windows 2000/XP/2003), а так же Ext2, Ext3 (Unix-системы)

Crypton Disk для Windows 95/98/ME/2000/NT

4.0/XP/2003

программа прозрачного шифрования логических дисков. Создает с помощью

устройства КРИПТОН или Crypton Emulator виртуальный логический

диск, шифруемый в автоматическом режиме

Crypton IP Mobile для Windows 2000/XP/2003

программный комплекс предназначенный для организации виртуальной закрытой сети (VPN), который позволяет пользователям (в

том числе и удаленным) устанавливать обмен зашифрованной информацией друг с

другом; поставляется в дополнение к устройствам КРИПТОН в комплекте с ПО

КРИПТОН для Windows или к Crypton Emulator для Windows

КРИПТОН-LITE для Windows 95/98/ME/NT

4.0/2000/XP/2003

комплект СКЗИ, включающий в себя Crypton Emulator, КРИПТОН-

Шифрование и КРИПТОН-Подпись

КРИПТОН

Почта для Linux - программа для организации защищённых почтовых

каналов в открытой сети Интернет (на базе свободно распространяемого

почтового транспортного агента (MTA) Sendmail (GPL))

РУТОКЕН - USB

носитель с защищённой памятью для хранения ключевой информации

Crypton Office для приложений MS Office

Пакет прикладных программ, предназначенных для встраивания в приложения MS Office, предоставляет

пользователю возможность использования функций шифрования и электронно-цифровой подписи в среде

MS Word, Excel и Outlook

Crypton ArcMail Windows 95/98/ME/2000/NT

4.0/XP/2003 единый сервис архивирования,

архивного и абонентского шифрования и ЭЦП. Симметричная и ассиметричная ключевые системы, открытый ключ 512

и 1024 бит

Crypton Lock для Windows NT 4.0/2000/XP/2003

модуль для санкционированного входа в операционную систему по

предъявлению брелока РУТОКЕН

Crypton Wipe для Windows-95/98/ME/NT

4.0/2000/XP/2003 гарантированное уничтожение информации. Для усложнения

восстановления удаляемой информации файлы предварительно

шифруются

Терминология по защите персональных данных

Автоматизированная система (AC)

Система, состоящая из персонала и комплекса средств автоматизации его

деятельности, реализующая информационную технологию

выполнения установленных функций

Администратор базы данных

Специальное должностное лицо (группа лиц), имеющий(ие) полное

представление о базе данных и отвечающее за ее ведение,

использование и развитие. Входит в состав администрации банка данных

Администратор базы данных

Лицо, имеющее полное представление о данных, используемых в учреждении

(на предприятии), и отвечающее за хранение, обновление и организацию

их использования

Администратор защиты

Субъект доступа, ответственный за защиту автоматизированной системы от

несанкционированного доступа к информации

Администратор системы (системный

администратор)

Лицо, отвечающее за эксплуатацию системы и поддержание ее в работоспособном состоянии

Аттестация

Оценка на соответствие определенным нормативным требованиям

Аутентификация

Подтверждение подлинности

База данных Это объективная форма представления

и организации совокупности данных (статей, расчетов и т.д.),

систематизированных таким образом, чтобы эти данные могли быть найдены и

обработаны с помощью электронной вычислительной машины (ЭВМ) (закон

«О правовой охране программ для ЭВМ и баз данных»)

База данных

Совокупность данных, организованных по определенным правилам,

предусматривающим общие принципы описания, хранения и манипулирования данными, независимая от прикладных

программ

Биометрические данные

Совокупность данных, организованных по определенным правилам,

предусматривающим общие принципы описания, хранения и манипулирования данными, независимая от прикладных

программ

Блокирование персональных данных

временное прекращение сбора, систематизации, накопления,

использования, распространения персональных данных, в том числе их

передачи

Блокировка

Изоляция или приведение объекта в состояние, препятствующее выполнению

определенных действий

Вредоносные программы

Программы или измененные программы ОИ (СПД), приводящие к

несанкционированному уничтожению, блокированию, модификации либо

копированию информации, нарушению работы ОИ (СПД) и другим негативным

последствиям в отношении ОИ (СПД)

Государственная тайна

Защищаемые государством сведения в области его военной,

внешнеэкономической, экономической, разведывательной,

контрразведывательной и оперативно-розыскной деятельности,

распространение которых может нанести ущерб безопасности государства

Государственные информационные ресурсы Это информационные ресурсы, включающие в себя отдельные

документы и отдельные массивы документов, документы и массивы документов в информационных системах (библиотеках, архивах,

фондах, банках данных и других информационных системах), создаваемые для обеспечения деятельности органов государственной

власти и вырабатываемые в результате этой деятельности, а также ресурсы, создаваемые негосударственными организациями по заказам и

в интересах органов государственной власти Государственные информационные ресурсы подразделяются на: федеральные;

совместного ведения федеральными органами государственной власти и органами государственной власти субъектов Российской Федерации;

субъектов Российской Федерации

Гриф секретности

Реквизиты, свидетельствующие о степени секретности сведений, содержащихся в их носителе,

проставляемые на самом носителе и (или) сопроводительной документации

на него (закон «О государственной тайне»)

Данные

Информация, представленная в виде, пригодном для обработки

автоматическими средствами при возможном участии человека (ГОСТ

15971-84)

Защита информации (ЗИ)

Деятельность по предотвращению утечки защищаемой информации,

несанкционированных и непреднамеренных воздействий на защищаемую информацию (ГОСТ Р

50922-96)

Защита информации от непреднамеренного воздействия

Деятельность по предотвращению воздействия на защищаемую информацию ошибок пользователя

информацией, сбоя технических и программных средств информационных систем, а также природных явлений или

иных целенаправленных на изменение информации воздействий, связанных с функционированием технических средств, систем или с деятельностью людей, приводящих к искажению, уничтожению, копированию, блокированию

доступа к информации, а также к утрате, уничтожению или сбою функционирования носителя информации (ГОСТ Р

50922-96)

Информационная система

Совокупность содержащейся в базах данных информации и обеспечивающих

ее обработку информационных технологий и технических средств

(Федеральный закон «Об информации, информационных технологиях и защите

информации»)

Информационная система персональных данных

средств информационная система, представляющая собой совокупность

персональных данных, содержащихся в базе данных, а также информационных технологий

и технических средств, позволяющих осуществлять обработку таких персональных

данных с использованием автоматизации или без использования таких средств

Информационная технология

Приемы, способы и методы применения средств вычислительной техники при

выполнении функций сбора, обработки, хранения, обработки, передачи и

использования данных (ГОСТ 34.003-90)

Информация

Сведения о лицах, предметах, событиях, явлениях и процессах независимо от формы

их представления, используемые в целях получения знаний, принятия решений (ГОСТ

Р50922-96)

Информация ограниченного доступа

Конфиденциальная информация, включающая сведения, составляющие

банковскую, коммерческую, служебную, личную или другие тайны, на распространение

которых в установленном порядке накладываются ограничения

Использование персональных данных

действия (операции) с персональными данными, совершаемые оператором в целях

принятия решений или совершения иных действий, порождающих юридические

последствия в отношении субъекта персональных данных или других лиц либо

иным образом затрагивающих права и свободы субъекта персональных данных или

других лиц

Категория защищаемой информации

Степень конфиденциальности сведений, присваиваемая информации согласно положениям законодательных актов

Российской Федерации

категория 1

персональные данные, касающиеся расовой, национальной принадлежности, политических

взглядов, религиозных и философских убеждений, состояния здоровья, интимной

жизни

Категория 2

персональные данные, позволяющие идентифицировать субъекта персональных данных и получить о нем дополнительную

информацию, за исключением персональных данных, относящихся к категории 1

Категория 3

персональные данные, позволяющие идентифицировать субъекта персональных

данных

Категория 4

обезличенные и (или) общедоступные персональные данные

Коммерческая тайна Научно-техническая, технологическая,

коммерческая, организационная или иная используемая в экономической деятельности

информация, имеющая действительную потенциальную коммерческую ценность в силу ее неизвестности третьим лицам, которые могли бы

получить выгоду от ее разглашения или использования, к которой нет свободного доступа на

законном основании и по отношению, к которой принимаются адекватные ей ценности, меры охраны

Конфиденциальная информация

Документированная информация, доступ к которой ограничивается в соответствии с

законодательством Российской Федерации

Конфиденциальность персональных данных

обязательное для соблюдения оператором или иным получившим доступ к

персональным данным лицом требование не допускать их распространение без согласия

субъекта персональных данных или наличия иного законного основания

Лицензиат в области защиты информации

Сторона в лицензионном соглашении, получающая право на проведение работ в

области защиты информации

Лицензия

Представление права использовать защищенные патентами изобретения,

технологии

Межсетевой экран Это локальное (однокомпонентное) или

функционально распределенное программное (программно-аппаратное) средство (комплекс),

реализующее контроль пакетов, поступающих в АП и/или выходящих из АП в рамках определенных

протоколов. МЭ обеспечивает защиту АП посредством фильтрации пакетов, т.е. их анализа по совокупности критериев и принятия решения об их

распространении в (из) АП на основе заданных правил, проводя, таким образом, разграничение

доступа субъектов из одной сети к объектам другой сети

Нарушение

Несоответствие установленным требованиям или нормам

Нарушитель (злоумышленник)

Лицо или организация, заинтересованное в получении возможности

несанкционированного доступа к защищаемым ресурсам или совершившее его

Носитель информации

Физическое лицо или материальный объект, в том числе физические поля, в которых

информация находит свое отображение в виде символов, образов, сигналов, технических

решений и процессов (ГОСТ Р 50922-96)