34
Комплексная система защиты персональных данных Евгений Сердечнюк Отдел АЦИТ

Комплексная защита персональных данных

Embed Size (px)

DESCRIPTION

 

Citation preview

Page 1: Комплексная защита персональных данных

Комплексная система защиты персональных

данных

Евгений Сердечнюк

Отдел АЦИТ

Page 2: Комплексная защита персональных данных

Необходимость защиты

Указ Президента РФ от 06.03.97 №188 «Об утверждении перечня сведений конфиденциального характера», пункт 1

Федеральный Закон от 27.07.06 №152-ФЗ «О персональных данных», ст.1

Page 3: Комплексная защита персональных данных

Требования по защите

Федеральное Законодательство (в первую очередь 152-ФЗ)

Постановление Правительства №687 Постановление Правительства №781 Трудовой Кодекс другие нормативные документы

Page 4: Комплексная защита персональных данных

Регуляторы

Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор)

Page 5: Комплексная защита персональных данных

Регуляторы

Федеральная Служба по Техническому и Экспортному Контролю (ФСТЭК)

Федеральная Служба Безопасности (ФСБ)

Page 6: Комплексная защита персональных данных

Роскомнадзор

Организационно-правовые вопросы защиты

Упор на защиту прав субъектов персональных данных

База: 152-ФЗ, ПП №687, 14 глава ТК

Page 7: Комплексная защита персональных данных

ФСТЭК

Вопросы технической защиты информации

База: 152-ФЗ, ПП №781

Page 8: Комплексная защита персональных данных

ФСБ

Криптографическая защита информации База: ПП №781

Page 9: Комплексная защита персональных данных

Актуальные требования

Роскомнадзор: «Типовая программа проведения

мероприятий» «Административный регламент проведения

проверок»

Page 10: Комплексная защита персональных данных

Актуальные требования

ФСТЭК: Приказ от 05.02.10 «Об утверждении

Положения о методах и способах защиты информации в ИСПДн»

Page 11: Комплексная защита персональных данных

Пункты проверки Роскомнадзора

1) Наличие согласий субъектов на обработку их персональных данных.

2) Факты передачи персональных данных третьим лицам без уведомления и получения согласия субъекта.

Page 12: Комплексная защита персональных данных

Пункты проверки Роскомнадзора

3) Осуществлялось ли размещение в СМИ персональных данных не являющихся общедоступными без соответствующего согласия.

4) Наличие согласия на обработку персональных данных в рекламных целах если такая обработка осуществляется

Page 13: Комплексная защита персональных данных

Пункты проверки Роскомнадзора

5) Соблюдение конфиденциальности персональных данных при их обработке.

6) Своевременное уведомление уполномоченного органа в случае обработки персональных данных, не подпадающих под исключения.

Page 14: Комплексная защита персональных данных

Пункты проверки Роскомнадзора

7) Соответствие сведений, содержащихся в уведомлении фактической деятельности оператора.

8) Своевременное представление сведений об изменении информации, содержащейся в уведомлении.

Page 15: Комплексная защита персональных данных

Пункты проверки Роскомнадзора

9) Соответствие письменного согласия субъекта требованиям законодательства РФ.

10) Соблюдение требования предоставления информации, касающейся персональных данных субъекта, в случае получения соответствующего запроса.

Page 16: Комплексная защита персональных данных

Пункты проверки Роскомнадзора

11) Наличие согласия на обработку биометрических персональных данных субъекта, если такая обработка осуществляется.

12) Осуществлялась ли обработка специальных категорий персональных данных, в случае если такая обработка не допускается.

Page 17: Комплексная защита персональных данных

Пункты проверки Роскомнадзора

13) Исполнение обязанности по прекращению обработки и уничтожению персональных данных, в случае отзыва субъектом согласия.

14) Информирование лиц, осуществляющих обработку персональных данных без использования средств автоматизации.

Page 18: Комплексная защита персональных данных

Пункты проверки Роскомнадзора

15) Соответствие типовых форм документов, характер информации в которых предполагает или допускает включение в них персональных данных, требованиям законодательства РФ.

Page 19: Комплексная защита персональных данных

Пункты проверки Роскомнадзора

16) Определение мест хранений материальных носителей персональных данных и круга лиц, имеющих к ним доступ – при неавтоматизированной обработке

Page 20: Комплексная защита персональных данных

Пункты проверки Роскомнадзора

17) Соблюдение условий, обеспечивающих сохранность материальных носителей персональных данных и исключающих несанкционированный к ним доступ

Page 21: Комплексная защита персональных данных

Пункты проверки Роскомнадзора

18) Наличие в договоре условия об обеспечении конфиденциальности и безопасности персональных данных при их обработке, в случае, если оператор поручает обработку персональных данных другому лицу.

19) Требования 14 главы Трудового Кодекса.

Page 22: Комплексная защита персональных данных

Требования ФСТЭК

Общие положения

Защита информации:

1) Защита от НСД

2) Защита от утечек по техническим каналам

Page 23: Комплексная защита персональных данных

Защита от НСД

1) Разрешительная система допуска пользователей

2) Ограничение доступа в некоторые помещения

3) Разграничение доступа пользователей и обслуживающего персонала

Page 24: Комплексная защита персональных данных

Защита от НСД

4) Регистрация действий пользователей и обслуживающего персонала

5) Учет и хранение съемных носителей; ведение журнала обращений к ним

6) Резервирование технических средств, дублирование массивов и носителей информации

Page 25: Комплексная защита персональных данных

Защита от НСД

7) Использование СЗИ

8) Использование защищенных каналов связи

9) Размещение ИСПДн в пределах охраняемой территории

10) Организация физической защиты помещений и тех.средств.

11) Предотвращение вирусов, троянов и т.п.

Page 26: Комплексная защита персональных данных

Защита от НСД

При подключении к Интернету:

1) Межсетевое экранирование

2) Средства обнаружения вторжений

3) Анализ сканерами безопасности

4) Защита информации при передаче

5) Использование физического механизма идентификации пользователей

Page 27: Комплексная защита персональных данных

Защита от НСД

6) Антивирусная защита

7) Централизованное управление системой защиты

Page 28: Комплексная защита персональных данных

Защита от утечки по тех.каналам

1) СВТ должны соответствовать требованиям стандартов по электромагнитной совместимости и т.п.

2) Устройства вывода должны располагаться таким образом, чтобы посторонний не мог увидеть выведенную информацию

Page 29: Комплексная защита персональных данных

Способы защиты для ИСПДн 2 класса

Разделение режимов:

- однопользовательский

- многопользовательский с равными правами

- многопользовательский с разными правами

Page 30: Комплексная защита персональных данных

Однопользовательский режим

Проверка по паролю; пароль не менее 6 буквенно-цифровых символов

Регистрация входа-выхода пользователя Учет носителей информации Проверка целостности защитного ПО по

наличию имен компонентов защиты Запрет на наличие средств отладки

Page 31: Комплексная защита персональных данных

Однопользовательский режим

Физическая охрана Тестирование СЗИ с помощью программ,

имитирующих НСД Наличие средств восстановления Ведение резервной копии ПО СЗИ

Page 32: Комплексная защита персональных данных

Многопользовательский с равными правами

При идентификации: + проверка по логину Фиксируется результат попытки входа в

систему

Page 33: Комплексная защита персональных данных

Многопользовательский с разными правами

При входе-выходе фиксируется идентификатор (или фамилия) пользователя

Учет носителей ведется с отметками об их выдаче и приеме

+ Требования к межсетевому экранированию

Page 34: Комплексная защита персональных данных

Сердечнюк Е.В.АЦИТ ГОУ ВПО «СибГУТИ»

2010 г.