нпа обеспечение пдн

ВЫСТУПЛЕНИЕ

ТЕМА: Система документов в области

обеспечения безопасности персональных

данных при их обработке в информационных

системах персональных данных.

Руководитель занятия: заместитель начальника отдела Управления ФСТЭК

России по Уральскому федеральному округу

Мельников Валерий Геннадьевич

контактный тел: (351) 372 -18 -53

1

Система документов в области обеспечения

безопасности ПДн при их обработке в ИСПДн

Нормативные правовые

2

Законы Российской

Федерации

Организационно-

распорядительные

Постановления

Правительства Российской

Федерации

Положения

Инструкции

Стандарты

Нормативные

Специальные

нормативные

СТР

РД

Требования

Международные

Межгосударст

венные

Национальные

Методические

Модели

Методики

Руководства

Рекомендации

Основные нормативные правовые документы

в области обеспечения безопасности ПДн при их обработке в ИСПДн

Федеральный закон РФ от 27 июля 2006 г.

№152-ФЗ «О персональных данных»


№149-ФЗ «Об информации, информационных

технологиях и о защите информации»

3


№ 261-ФЗ «О внесении изменений в Федеральный

закон о персональных данных»

«О персональных данных»

Федеральный закон от 27 июля 2006 г. № 152-ФЗ

4




Статья 3. Основные понятия, используемые в настоящем Федеральном законе

• Персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).

• Автоматизированная обработка персональных данных - обработка персональных данных с помощью средств вычислительной техники.

• Информационная система персональных данных - совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.



5




Статья 6. Условия обработки персональных данных

• Оператор вправе поручить обработку персональных данных другому лицу с согласия субъекта персональных данных, если иное не предусмотрено федеральным законом, на основании заключаемого с этим лицом договора, в том числе государственного или муниципального контракта, либо путем принятия государственным или муниципальным органом соответствующего акта (далее - поручение оператора).

• Лицо, осуществляющее обработку персональных данных по поручению оператора, обязано соблюдать принципы и правила обработки персональных данных, предусмотренные настоящим Федеральным законом.

• В поручении оператора должны быть определены перечень действий (операций) с персональными данными, которые будут совершаться лицом, осуществляющим обработку персональных данных, и цели обработки, должна быть установлена обязанность такого лица соблюдать конфиденциальность персональных данных и обеспечивать безопасность персональных данных при их обработке, а также должны быть указаны требования к защите обрабатываемых персональных данных в соответствии со статьей 19 настоящего Федерального закона.



6




Статья 18.1. Меры, направленные на обеспечение выполнения оператором обязанностей, предусмотренных настоящим Федеральным законом

• Оператор обязан принимать меры, необходимые и достаточные

для обеспечения выполнения обязанностей, предусмотренных

настоящим Федеральным законом и принятыми в соответствии с

ним нормативными правовыми актами.

• Оператор самостоятельно определяет состав и перечень мер,

необходимых и достаточных для обеспечения выполнения

обязанностей, предусмотренных настоящим Федеральным законом

и принятыми в соответствии с ним нормативными правовыми

актами, если иное не предусмотрено настоящим Федеральным

законом или другими Федеральными законами.



7




Статья 18.1. К таким мерам могут, в частности, относиться:

1) назначение оператором, являющимся юридическим лицом, ответственного за

организацию обработки персональных данных;

2) издание оператором, являющимся юридическим лицом, документов, определяющих

политику оператора в отношении обработки персональных данных, локальных актов по

вопросам обработки персональных данных, а также локальных актов, устанавливающих

процедуры, направленные на предотвращение и выявление нарушений законодательства

Российской Федерации, устранение последствий таких нарушений;

3) применение правовых, организационных и технических мер по обеспечению

безопасности персональных данных в соответствии со статьей 19 настоящего ФЗ;

4) осуществление внутреннего контроля и (или) аудита соответствия обработки

персональных данных настоящему ФЗ и принятым в соответствии с ним нормативным

правовым актам, требованиям к защите персональных данных, политике оператора в

отношении обработки персональных данных, локальным актам оператора;

5) оценка вреда, который может быть причинен субъектам персональных данных в случае

нарушения настоящего ФЗ, соотношение указанного вреда и принимаемых оператором мер,

направленных на обеспечение выполнения обязанностей, предусмотренных настоящим

Федеральным законом;

6) ознакомление работников оператора, непосредственно осуществляющих обработку

персональных данных, с положениями законодательства Российской Федерации о

персональных данных, в том числе с требованиями к защите персональных данных,

документами, определяющими политику оператора в отношении обработки персональных

данных, локальными актами по вопросам обработки персональных данных, и (или) обучение

указанных работников.



8




Статья 19. Меры по обеспечению безопасности персональных данных при их обработке

1. Оператор при обработке персональных данных обязан принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.

2. Обеспечение безопасности персональных данных достигается, в частности:

1) определением угроз безопасности персональных данных при их обработке в ИСПДн;

2) применением организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные Правительством Российской Федерации уровни защищенности персональных данных;

3) применением прошедших в установленном порядке процедуру оценки соответствия средств защиты информации;

4) оценкой эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию ИСПДн;

5) учетом машинных носителей персональных данных;

6) обнаружением фактов несанкционированного доступа к персональным данным и принятием мер;

7) восстановлением персональных данных, модифицированных или уничтоженных вследствие НСД к ним;

8) установлением правил доступа к персональным данным, обрабатываемым в ИСПДн, а также обеспечением регистрации и учета всех действий, совершаемых с персональными данными в ИСПДн;

9) контролем за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищенности ИСПДн.



9




п.3. Правительство Российской Федерации с учетом возможного

вреда субъекту персональных данных, объема и содержания

обрабатываемых персональных данных, вида деятельности, при

осуществлении которого обрабатываются персональные данные,

актуальности угроз безопасности персональных данных

устанавливает:

1) уровни защищенности персональных данных при их обработке в

информационных системах персональных данных в зависимости от

угроз безопасности этих данных;

2) требования к защите персональных данных при их обработке в

информационных системах персональных данных, исполнение

которых обеспечивает установленные уровни защищенности

персональных данных.



10




п.8. Контроль и надзор за выполнением организационных и технических мер по

обеспечению безопасности персональных данных, установленных в

соответствии с настоящей статьей, при обработке персональных данных в

государственных информационных системах персональных данных

осуществляются федеральным органом исполнительной власти,

уполномоченным в области обеспечения безопасности (ФСБ России), и

федеральным органом исполнительной власти, уполномоченным в области

противодействия техническим разведкам и технической защиты информации

(ФСТЭК России), в пределах их полномочий и без права ознакомления с

персональными данными, обрабатываемыми в информационных системах

персональных данных.

п.9. ФСБ России и ФСТЭК России, решением Правительства Российской

Федерации с учетом значимости и содержания обрабатываемых персональных

данных могут быть наделены полномочиями по контролю за выполнением

организационных и технических мер по обеспечению безопасности

персональных данных, установленных в соответствии с настоящей статьей,

при их обработке в информационных системах персональных данных,

эксплуатируемых при осуществлении определенных видов деятельности и не

являющихся государственными информационными системами персональных

данных, без права ознакомления с персональными данными,

обрабатываемыми в информационных системах персональных данных.



11




Статья 22.1. 1. Оператор, являющийся юридическим лицом, назначает лицо,

ответственное за организацию обработки персональных данных.

4. Лицо, ответственное за организацию обработки персональных данных, в частности, обязано:

1) осуществлять внутренний контроль за соблюдением оператором и его работниками законодательства Российской Федерации о персональных данных, в том числе требований к защите персональных данных;

2) доводить до сведения работников оператора положения законодательства Российской Федерации о персональных данных, локальных актов по вопросам обработки персональных данных, требований к защите персональных данных.

Организационно-распорядительные документы


Постановление Правительства РФ от 17 ноября 2007 г. №781

«Об утверждении Положения об обеспечении безопасности

персональных данных при их обработке в информационных

системах персональных данных»

12

Постановление Правительства РФ от 21 марта 2012 г. № 211

«Об утверждении перечня мер, направленных на обеспечение

выполнения обязанностей, предусмотренных Федеральным

законом «О персональных данных» и принятыми в

соответствии с ним нормативными правовыми актами,

операторами, являющимися государственными или

муниципальными органами»

Нормативные и методические документы


Порядок проведения классификации информационных систем

персональных данных, утвержденный приказом ФСЭК России, ФСБ

России и Мининформсвязи России от

13 февраля 2008 г. № 55/86/20

Положение о методах и способах защиты информации в информационных

системах персональных данных. Приказ директора ФСТЭК России от 5

февраля 2010 г. № 58

13

Базовая модель угроз безопасности персональных данных при обработке в

информационных системах персональных данных. Утверждена ФСТЭК

России 15 февраля 2008 г.

Методика определения актуальных угроз безопасности персональных

данных при обработке в информационных системах персональных

данных. Утверждена ФСТЭК России 14 февраля 2008 г.

Приказ ФСЭК России, ФСБ России и Мининформсвязи России от

13 февраля 2008 г. № 55/86/20

14

Категория

ПДн

Объем обрабатываемых ПДн

менее 1 000

субъектов ПДн

от 1 000 до 100 000


более 100 000


категория 4 (обезличенные данные)

класс 4 класс 4 класс 4

категория 3 (данные, позволяющие

идентифицировать субъекта)


категория 2 (данные, позволяющие

идентифицировать субъекта и

получить о нем

дополнительную информацию)


категория 1

(данные, касающиеся рассовой,

национальной принадлежности,

политических взглядов,

религиозных убеждений,

состояния здоровья)


Базовая модель угроз безопасности ПДн при обработке в ИСПДн

15

Документ предназначен:

для операторов организующих и (или) осуществляющих обработку ПДн,

а также определяющих цели и содержание обработки ПДн, заказчиков и

разработчиков ИСПДн и их подсистем при решении задач:

- разработки частных моделей угроз безопасности ПДн в конкретных

ИСПДн;

- анализ защищенности ИСПДн;

- разработка систем защиты ПДн;

- организации и проведения мероприятий по защите ПДн;

- контроля защищенности ПДн

В документе:

-дается характеристика объектов защиты;

- приводятся классификация угроз;

-описываются модели нарушителей;

-раскрывается содержание угроз утечки информации по

техническим каналам, угроз НСД, программно-математических

воздействий, угроз специальных воздействий электромагнитными

полями и др.

Базовая модель угроз безопасности ПДн при обработке в ИСПДн

16

Наименование

угрозы

Источник

угрозы

Уязвимость

Способ

реализации

Несанкционированное

действие

Нарушитель

Аппаратная

закладка

Носитель вредоносной

программы

Внутренний

Внешний

Категория

нарушителя

Определяется по

уровню доступа к

ИСПДн

Кража носителя

Копирование

Модификация

Уничтожение

Кража паролей

Методика определения актуальных угроз безопасности

ПДн при их обработке в ИСПДн

17

Документ предназначен:

для специалистов по обеспечению безопасности информации,

руководителей организаций и предприятий, организующих и

проводящих работы по обработке ПДн в государственных или

муниципальных ИСПДн, ИСПДн создаваемых и (или) эксплуатируемых

предприятиями, организациями и учреждениями независимо от форм

собственности, в ИСПДн, создаваемых и используемых физическими

лицами, за исключением случаев, когда последние используют

указанные системы исключительно для личных и семейных нужд.

Документ содержит:

-общие положения с определением наиболее важных понятий и

указанием на связь с базовой моделью;;

- приводятся показатели, по которым определяется актуальность

угроз;

--описывается порядок расчета показателей и правила отнесения

угроз к актуальным

Методика определения актуальных угроз безопасности

ПДн при их обработке в ИСПДн

18

Показатель

исходной

степени

защищенности

Значения Уровень

исходной

защищенности

Y1

0 Высокий

5 Средний

10 Низкий

Показатель

возможности


угрозы

Значения Уровень

возможности


угрозы

Y2

0 Маловероятно

2 Низкая

вероятность

5 Средняя


10 Высокая


Коэффициент реализуемости угрозы

Y=(Y1+ Y2 )/20

Если 0 ≤ Y ≤ 0,3, то возможность

реализации угрозы признается

низкой;



средней;



высокой;

Если Y > 0,8 то возможность


очень высокой;

Положение о методах и способах защиты информации в

информационных системах персональных данных

19

Назначение:

устанавливает методы и способы защиты информации, применяемые

для обеспечения безопасности персональных данных при их обработке в

ИСПДн государственными органами, муниципальными органами,

юридическими или физическими лицами, организующими и (или)

осуществляющими обработку персональных данных, а также

определяющими цели и содержание обработки персональных данных

(оператор), или лицом, которому на основании договора оператор

поручает обработку персональных данных (уполномоченное лицо).

Не рассматриваются вопросы обеспечения безопасности

персональных данных, отнесенных в установленном порядке к

сведениям, составляющим государственную тайну, а также

вопросы применения криптографических методов и способов

защиты информации

Положение о методах и способах защиты информации в

информационных системах персональных данных

20

Общие вопросы

организации

применения методов и

способов

Методы и способы

защиты информации от

утечки по техническим

каналам


защиты информации от

несанкционированного

доступа

Может назначаться:

структурное подразделение

или

должностное лицо,

ответственные за обеспечение

безопасности ПДн

Может привлекаться:

организация, имеющая

лицензию на осуществление

деятельности по ТЗКИ

Может привлекаться:

организация, имеющая

лицензию на осуществление

деятельности по ТЗКИ

Выбор и реализация методов

и способов проводятся на

основе определяемых

оператором угроз

безопасности ПДн (модели

угроз) и в зависимости от

класса ИСПДн

Защита речевой

информации:

при актуальности угрозы

утечки речевой информации

Исключение утечки ПДн за

по каналу ПЭМИН:

для ИСПДн 1 класса


предусмотренные СТРК

Использование средств

антивирусной защиты

Межсетевое экранирование

Обнаружение вторжений

Анализ защищенности

Создание канала связи,

обеспечивающего защиту

передаваемых данных

Использование смарт-карт,

электронных замков и тп.

Приложение: Методы и способы защиты информации от НСД в

зависимости от класса ИСПДн

Пр

и в

заи

мод

ейст

ви

и И

СП

Дн

с И

ТК

С

Поручение Правительства Российской Федерации

от 3 ноября 2011 г. № ВВ-П39-7752

21

№

п/п

Название проекта нормативного правового акта Срок

представления

Ответственные

исполнители

1. Постановление Правительства РФ о перечне мер, направленных на

обеспечение выполнения обязанностей, предусмотренных Федеральным

законом «О персональных данных» и принятыми в соответствии с ним

нормативными правовыми актами, операторами, являющимися

государственными или муниципальными органами

декабрь 2011 г. Минкомсвязь

России

ФСБ России,

ФСТЭК России,

Роскомнадзор

2. Постановление Правительства РФ об установлении уровней защищенности

ПДн при их обработке в ИСПДн в зависимости от угроз безопасности этих

данных

май 2012 ФСБ России,


Минкомсвязь

России

3. Постановление Правительства Российской Федерации об утверждении

требований к защите ПДн при их обработке в ИСПДН, исполнение которых

обеспечивает установленные уровни защищенности ПДн

май 2012 ФСБ России,


Минкомсвязь

России

4. Постановление Правительства РФ об утверждении порядка согласования

решений ассоциаций, союзов и иных объединений операторов об

определени дополнительных угроз безопасности ПДн, актуальных при

обработке ПДн в ИСПДн, эксплуатируемых при осуществлении

определенных видов деятельности членами таких ассоциаций, союзов и

иных объединений операторов, с федеральных органом исполнительной

власти, уполномоченным в области обеспечения безопасности, и с

федеральным органом власти, уполномоченным в области противодействия

техническим разведкам и технической защиты информации

август 2012 ФСБ России

ФСТЭК России

Поручение Правительства Российской Федерации

от 3 ноября 2011 г. № ВВ-П39-7752

22

№

п/п

Название проекта нормативного правового акта Срок

представления

Ответственные

исполнители

5. Приказ ФСБ России об утверждении состава и содержания

необходимых для установленных Правительством Российской

Федерации требований к защите ПДн для каждого из уровней

защищенности организационных и технических мер по

обеспечению безопасности ПДн при их обработке в ИСПДн, в

сфере деятельности ФСБ России

Июль 2012 ФСБ России

6. Приказ ФСТЭК России об утверждении состава и содержания

необходимых для установленных Правительством Российской

Федерации требований к защите ПДн для каждого из уровней

защищенности организационных и технических мер по

обеспечению безопасности ПДн при их обработке в ИСПДн, в

сфере деятельности ФСТЭК России

Июль 2012 ФСТЭК

России

7. Приказ Роскомнадзора об утверждении перечня иностранных

государств, не являющимися сторонами Конвенции Совета

Европы о защите физических лиц при автоматизированной

обработке ПДн, и обеспечивающих адекватную защиту прав

субъектов персональных данных

Декабрь 2012 Роскомнадзор

ВЫСТУПЛЕНИЕ

ТЕМА: Система документов в области

обеспечения безопасности персональных

данных при их обработке в информационных

системах персональных данных.

Руководитель занятия: заместитель начальника отдела Управления ФСТЭК

России по Уральскому федеральному округу

Мельников Валерий Геннадьевич

контактный тел: (351) 372 -18 -53 23

Documents

нпа обеспечение пдн