Embed Size (px)
DESCRIPTION
Подход к защите персональных данных после 15 марта 2010 г. Что изменилось?. 20 10 г. Нормативно-правовая база. Нормативно-методические документы ФСТЭК России. - PowerPoint PPT Presentation
Citation preview
Подход к защите Подход к защите персональных данных персональных данных после 15 марта 2010 г.после 15 марта 2010 г.Что изменилось?Что изменилось?
2010 г.
© ReignVox
Нормативно-правовая базаНормативно-правовая база
19.04.23 2Подход к защите ПДн после 15 марта 2010 года
© ReignVox
Нормативно-методические Нормативно-методические документы ФСТЭК Россиидокументы ФСТЭК России
1.Приказ ФСТЭК России № 58 от 5 февраля 2010 г.
"Об утверждении положения о методах и способах защиты информации в информационных системах персональных данных"
2.Решение ФСТЭК России от 5 марта 2010 г. не применять с 15 марта 2010 г. следующие методические документы ФСТЭК России:
Основные мероприятия …Рекомендации по обеспечению безопасности
…
19.04.23Подход к защите ПДн после 15 марта 2010 года 3
© ReignVox
Нормативно-правовая базаНормативно-правовая база
19.04.23 4Подход к защите ПДн после 15 марта 2010 года
© ReignVox
Что изменилось?Что изменилось?
Конкретизированы методы и способы защиты при взаимодействии ИС с информационно-телекоммуникационными сетями международного информационного обмена (сетями связи общего пользования)
Конкретизированы методы и способы защиты информации от НСД при организации удаленного доступа к ИС через сети связи общего пользования
Требования к антивирусной защите
Конкретизированы требования контроля отсутствия НДВ
Конкретизированы требования по защите от утечек по техническим каналам
Конкретизированы случаи применения средств (систем) анализа защищенности и обнаружения вторжений
Прозрачная преемственность требований по защите с повышением класса ИС
19.04.23 5Подход к защите ПДн после 15 марта 2010 года
?
© ReignVox
Приказ №58 ФСТЭК России от 5.02.10Приказ №58 ФСТЭК России от 5.02.10
19.04.23 6
«…2.13. В зависимости от особенностей обработки персональных данных и структуры информационных систем могут разрабатываться и применяться другие методы защиты информации от НСД, обеспечивающие нейтрализацию угроз безопасности персональных данных…»
"Об утверждении Положения о методах и способах защиты информации в информационных системах персональных данных"
Подход к защите ПДн после 15 марта 2010 года
© ReignVox
Взаимодействие с сетями связи Взаимодействие с сетями связи общего пользованияобщего пользования
Методы и способы защиты при взаимодействии ИС с информационно-телекоммуникационными сетями международного информационного обмена (сетями связи общего пользования) :
межсетевое экранированиеобнаружение вторжений в информационную
системуанализ защищенности информационных системзащита информации при ее передаче по каналам связииспользование смарт-карт, электронных замков и других
носителей информациииспользование средств антивирусной защитыцентрализованное управление системой защиты
персональных данных
19.04.23 7Подход к защите ПДн после 15 марта 2010 года
© ReignVox
Взаимодействие через сети связи Взаимодействие через сети связи общего пользованияобщего пользования
Методы и способы защиты информации от НСД для обеспечения безопасности ПДн при межсетевом взаимодействии отдельных информационных систем через информационно-телекоммуникационную сеть международного информационного обмена (сеть связи общего пользования):
создание канала связи, обеспечивающего защиту передаваемой информации
осуществление аутентификации взаимодействующих информационных систем и проверка подлинности пользователей и целостности передаваемых данных
19.04.23 8Подход к защите ПДн после 15 марта 2010 года
© ReignVox
Взаимодействие ИС разных Взаимодействие ИС разных операторовоператоровМетоды и способы защиты информации от НСД при межсетевом взаимодействии отдельных ИС разных операторов через информационно-телекоммуникационную сеть международного информационного обмена (сеть связи общего пользования):
создание канала связи, обеспечивающего защиту передаваемой информации
аутентификация взаимодействующих информационных систем и проверка подлинности пользователей и целостности передаваемых данных
обеспечение предотвращения возможности отрицания пользователем факта отправки персональных данных другому пользователю
обеспечение предотвращения возможности отрицания пользователем факта получения персональных данных от другого пользователя
19.04.23 9Подход к защите ПДн после 15 марта 2010 года
© ReignVox
Взаимодействие ИС разных Взаимодействие ИС разных операторовоператоровМетоды и способы защиты информации от НСД для обеспечения безопасности ПДн при подключении ИС к информационно-телекоммуникационным сетям международного информационного обмена (сетям связи общего пользования) с целью получения общедоступной информации:
фильтрация входящих (исходящих) сетевых пакетов по правилам, заданным оператором (уполномоченным лицом)
периодический анализ безопасности установленных МЭ на основе имитации внешних атак на ИС
активный аудит безопасности ИС на предмет обнаружения в режиме реального времени несанкционированной сетевой активности
анализ принимаемой по информационно-телекоммуникационным сетям международного информационного обмена (сетям связи общего пользования) информации, в том числе на наличие компьютерных вирусов
19.04.23 10Подход к защите ПДн после 15 марта 2010 года
© ReignVox
Антивирусная защитаАнтивирусная защита
Было:Более 20 пунктов, устанавливающих требования к средствам антивирусной защиты
Стало:2.3. В информационных системах, имеющих подключение к информационно-телекоммуникационным сетям международного информационного обмена (сетям связи общего пользования), или при функционировании которых предусмотрено использование съемных носителей информации, используются средства антивирусной защиты
19.04.23 11Подход к защите ПДн после 15 марта 2010 года
© ReignVox
Контроль отсутствия НДВКонтроль отсутствия НДВ
2.12. Программное обеспечение средств защиты информации, применяемых в информационных системах 1 класса, проходит контроль отсутствия недекларированных возможностей.
Необходимость проведения контроля отсутствия недекларированных возможностей программного обеспечения средств защиты информации, применяемых в информационных системах 2 и 3 классов, определяется оператором (уполномоченным лицом).
19.04.23 12Подход к защите ПДн после 15 марта 2010 года
© ReignVox
Защита от утечки по техническим Защита от утечки по техническим каналамканалам
3.2. Для исключения утечки ПДн за счет ПЭМИН в ИС 1 класса могут применяться следующие методы и способы защиты информации:
использование технических средств в защищенном исполнениииспользование средств защиты информации, прошедших в
установленном порядке процедуру оценки соответствияразмещение объектов защиты в соответствии с предписанием
на эксплуатацию…
3.3. В ИС 2 класса для обработки информации используются СВТ, удовлетворяющие требованиям национальных стандартов по электромагнитной совместимости, по безопасности и эргономическим требованиям к средствам отображения информации, по санитарным нормам, предъявляемым к видеодисплейным терминалам средств вычислительной техники
19.04.23 13Подход к защите ПДн после 15 марта 2010 года
© ReignVox
Необходимость получения Необходимость получения лицензии на ТЗКИлицензии на ТЗКИ
128-ФЗ «О лицензировании отдельных видов деятельности», ст. 4К лицензируемым видам деятельности относятся виды деятельности, осуществление которых может повлечь за собой нанесение ущерба правам, законным интересам, здоровью граждан, обороне и безопасности государства, культурному наследию народов Российской Федерации и регулирование которых не может осуществляться иными методами, кроме как лицензированием
Перечень сведений конфиденциального характера, п.1 Сведения о фактах, событиях и обстоятельствах частной жизни гражданина, позволяющие идентифицировать его личность (персональные данные), за исключением сведений, подлежащих распространению в средствах массовой информации в установленных федеральными законами случаях, относятся к сведениям конфиденциального характера
19.04.23 14Подход к защите ПДн после 15 марта 2010 года
© ReignVox
Необходимость получения Необходимость получения лицензии на ТЗКИлицензии на ТЗКИ
152-ФЗ «О персональных данных», ч.1, ст. 19Оператор при обработке персональных данных обязан принимать необходимые организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных, а также от иных неправомерных действий
Положение о лицензировании деятельности по технической защите конфиденциальной информации, п.2 Под технической защитой конфиденциальной информации понимается комплекс мероприятий и (или) услуг по ее защите от несанкционированного доступа, в том числе и по техническим каналам, а также от специальных воздействий на такую информацию в целях ее уничтожения, искажения или блокирования доступа к ней
19.04.23 15Подход к защите ПДн после 15 марта 2010 года
© ReignVox
Необходимость получения Необходимость получения лицензии на ТЗКИлицензии на ТЗКИ
152-ФЗ «О персональных данных», ст. 3Оператор - государственный орган, муниципальный орган, юридическое или физическое лицо, организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели и содержание обработки персональных данных
128-ФЗ «О лицензировании отдельных видов деятельности», ст. 2Лицензиат – юридическое лицо или индивидуальный предприниматель, имеющие лицензию на осуществление конкретного вида деятельности
19.04.23 16Подход к защите ПДн после 15 марта 2010 года
© ReignVox
Необходимость получения Необходимость получения лицензии на ТЗКИлицензии на ТЗКИ
ВыводДеятельность по технической защите конфиденциальной информации (комплекс мероприятий и (или) услуг по ее защите от несанкционированного доступа, в том числе и по техническим каналам, а также от специальных воздействий на такую информацию в целях ее уничтожения, искажения или блокирования доступа к ней) является лицензируемым видом деятельности
В случае если юридическое лицо или индивидуальный предприниматель, являются операторами персональных данных, то они обязаны принимать необходимые организационные и технические меры для защиты персональных данных (осуществлять комплекс мероприятий по защите) и соответственно, обязаны иметь лицензию на деятельность по технической защите конфиденциальной информации
19.04.23 17Подход к защите ПДн после 15 марта 2010 года
© ReignVox
Оценка (подтверждение) Оценка (подтверждение) соответствиясоответствия
184-ФЗ "О техническом регулировании"Статья 20. Формы подтверждения соответствия
1. Подтверждение соответствия на территории Российской Федерации может носить добровольный или обязательный характер.
2. Добровольное подтверждение соответствия осуществляется в форме добровольной сертификации.
3. Обязательное подтверждение соответствия осуществляется в формах:
принятия декларации о соответствии соответствия
обязательной сертификации
19.04.23 18Подход к защите ПДн после 15 марта 2010 года
© ReignVox
Оценка (подтверждение) Оценка (подтверждение) соответствиясоответствия
1. Добровольное подтверждение соответствия может осуществляться для установления соответствия национальным стандартам, стандартам организаций, сводам правил, системам добровольной сертификации, условиям договоров. Системы добровольной сертификации отсутствуют.
2. Обязательное подтверждение соответствия проводится только в случаях, установленных соответствующим техническим регламентом, и исключительно на соответствие требованиям технического регламента. Технические регламенты отсутствуют.
3. Система сертификации средств защиты информации по требованиям безопасности информации № РОСС RU.0001.01БИ00Система аттестации ОИ является составной частью единой системы сертификации…
19.04.23 19Подход к защите ПДн после 15 марта 2010 года
© ReignVox 19.04.23Подход к защите ПДн после 15 марта 2010 года 20
ЗАО "Рэйнвокс"www.reignvox.ru125130, Москва, Старопетровский проезд, 7аТел: +7 (495) 981-61-82Факс: +7 (495) [email protected]
