'

ДОКУМЕНТЫ ПО ЗАЩИТЕ ПЕРСОНАЛЬНЫХ ДАННЫХ

Понравилась презентация – покажи это...





Слайд 0

ДОКУМЕНТЫ ПО ЗАЩИТЕ ПЕРСОНАЛЬНЫХ ДАННЫХ НАЧАЛЬНИК ОТДЕЛА ЗАЩИТЫ ИНФОРМАЦИИ ОТ ЕЁ УТЕЧКИ ПО ТЕХНИЧЕСКИМ КАНАЛАМ ТТИ ЮФУ КОРОБИЛОВ ЮРИЙ БОРИСОВИЧ


Слайд 1

8 (8634) 68-18-79 8-952-57-91-898 ozi@tsure.ru kor-yurii@yandex.ru


Слайд 2

ПОЛОЖЕНИЯ ФЗ-152 ВСТУПАЮТ В  СИЛУ ПОЭТАПНО С 26 января 2007 года: обрабатывать ПДн в соответствии с нормами ФЗ № 152; получать и обрабатывать ПДн можно только с согласия субъекта ПДн; начать разрабатывать организационно-распорядительную документацию; С 1 января 2008 года: направить уведомление в Роскомнадзор о том, что обрабатывают ПДн; определить категории ПДн; С 27 июля 2011 года: принимать необходимые правовые, организационные и технические меры для защиты ПДн от неправомерных действий в отношении ПДн; обеспечить неограниченный доступ к документу, определяющему политику оператора в отношении обработки ПДн; До 1 января 2013 года (касается операторов, осуществлявших обработку ПДн до 1 июля 2011 года) представить в Роскомнадзор следующие сведения: правовое основание обработки ПДн; данные физ. лица или юр. лица, ответственных за организацию обработки ПДн; сведения о наличии или об отсутствии трансграничной передачи ПДн в процессе их обработки; сведения об обеспечении безопасности ПДн (п.2.1, ст.25, № 152-ФЗ).


Слайд 3

ОСНОВНЫЕ РЕГЛАМЕНТИРУЮЩИЕ ДОКУМЕНТЫ Федеральный закон от 27.07.2006 N 149-ФЗ  «Об информации, информационных технологиях и о защите информации» Постановление Правительства №781  от 17 ноября 2007 года «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных» Постановление Правительства РФ №687  от 15.09.2008 г. «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации» Постановление Правительства РФ №512  от 06.07.2008 г. «Об утверждении требований к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных» Приказ ФСТЭК, ФСБ, Мининформсвязи №55/86/20  от 13.02.2008 г. «Об утверждении порядка проведения классификации информационных систем персональных данных» Приказ Федеральной службы по надзору в сфере массовых коммуникаций, связи и охраны культурного наследия №154  от 28 марта 2008 г. «Об утверждении Положения о ведении реестра операторов, осуществляющих обработку персональных данных» Приказ Федеральной службы по надзору в сфере связи и массовых коммуникаций (РОССВЯЗЬКОМНАДЗОР) №8  от 17 июля 2008 г. «Об утверждении образца формы уведомления об обработке персональных данных»


Слайд 4

МЕТОДИЧЕСКИЕ ДОКУМЕНТЫ РЕГУЛЯТОРОВ ФСТЭК России – «Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных». Утверждена Заместителем директора ФСТЭК России 15 февраля 2008 г. ФСТЭК России – «Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных». Утверждена Заместителем директора ФСТЭК России 14 февраля 2008 г. ФСБ РФ – «Методические рекомендации по обеспечению с помощью криптосредств безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств автоматизации». Утверждены руководством 8 Центра ФСБ России 21 февраля 2008 г. №149/5-144 ФСБ РФ – «Типовые требования по организации и обеспечению функционирования шифровальных (криптографических) средств, предназначенных для защиты информации, не содержащей сведений, составляющих государственную тайну в случае их использования для обеспечения безопасности персональных данных при обработке в информационных системах персональных данных». Утверждены руководством 8 Центра ФСБ России 21 февраля 2008 г. №149/6/6-622.  


Слайд 5

ОСНОВНЫЕ МЕРОПРИЯТИЯ


Слайд 6

1. Предпроектная стадия •Обследование информационных систем ПДн •Разработка Плана мероприятий по обеспечению защиты ПДн •Разработка Технического задания 2. Стадия проектирования и реализации •Разработка Технического проекта •Внедрение технических средств защиты ПДн •Разработка нормативной и регламентирующей документации 3. Стадия ввода в действие •Опытная эксплуатация системы защиты ПДн •Приемо-сдаточные испытания • Оценка соответствия требованиям по безопасности информации •Обучение персонала •Подача уведомления о начале обработки персональных данных Для типовых систем обработки персональных данных реализация перечисленных работ, особенно в части проектирования систем защиты, существенно упрощается.


Слайд 7

1. сформировать из сотрудников рабочую группу,  ответственную за  приведение защиты пдн в  организации в соответствии с законодательством. 2. Составить список ПДн, которые обрабатывает организация, а так же выяснить: цели обработки ПДн, состав и объём ПДн; сроки обработки и хранения ПДн; имеется ли согласие субъектов ПДн на обработку их данных. 3. Определить способы обработки ПДн: автоматизированный или нет; какие средства автоматизации используются; конфигурация и взаимодействие. 4. Провести классификацию ИСПДн. 5. Определить перечень угроз ПДн, разработать частную модель угроз. 6. Направить уведомление в Роскомнадзор о включении в реестр операторов ПДн.


Слайд 8

7. Разработать регламенты работы с ПДн: определить круг лиц, допущенных к обработке ПДн; организовать доступ в помещение, в котором осуществляется обработка ПДн; разработать должностные инструкции по работе с ПДн; установить персональную ответственность за нарушения правил обработки ПДн; определить сроки хранения ПДн и т.д. 8. Установить технические и программные средства защиты ПДн, которые уберегут данные от несанкционированного доступа и утечки по техническим каналам. 9. Подготовить и утвердить комплект организационно-распорядительной документации: Приказ о назначении ответственного должностного лица/подразделения; Положение по защите ПДн; Положение об обработке персональных данных; Регламент взаимодействия с субъектами ПДн; Должностные инструкции по работе с ПДн; Приказы о допуске, перечень допущенных сотрудников; Журналы учёта носителей информации и другие документы. 10. Обеспечить неограниченный доступ к документу, определяющему политику оператора в отношении обработки ПДн, к сведениям о реализуемых требованиях к защите ПДн.


Слайд 9

11. Аттестовать систему защиты ПДн.  Аттестацию может провести только специализированная организация, у которой есть соответствующая лицензия ФСТЭК. 12. Спланировать и регулярно проводить контрольные мероприятия по защите ПДн, проводить переаттестацию системы защиты ПДн.


Слайд 10

ОСНОВНЫЕ ДОКУМЕНТЫ


Слайд 11

1. Политика (Концепция) информационной безопасности организации 2. Уведомление в Роскомнадзор об обработке ПДн 3. Приказ о введении режима обработки и защиты персональных данных в организации. 4. Приказ об утверждении «Положения об обработке ПДн». Приложение: «Положение об обработке ПДн». 5. Приказ о создании комиссии для проведения классификации ИСПДн. Приложение: Акт классификации ИСПДн. 6. Приказ «Об утверждении частной модели угроз безопасности ПДн в ИСПДн»(ДСП). Приложение: Частная модель угроз безопасности ПДн (ДСП). 7. Описание технологического процесса обработки информации. 8. Аттестация или декларирование соответствия. Приложение: Протокол оценки соответствия 9.Приказ о назначении ответственного сотрудника (подразделения) за осуществление мероприятий по защите информации. 10. Приказ о допуске сотрудников к обработке ПДн. Приложение: Список сотрудников, допущенных к работе с ПДн. 11. Приказ об определении перечня обрабатываемых ПДн Приложение: Перечень обрабатываемых данных.


Слайд 12

16. Приказ об определении помещений, где обрабатываются ПДн. Приложение : Технические паспорта на защищаемые помещения. 17. Приказ об установлении границ контролируемой зоны. Приложение: Схема контролируемой зоны. 18.. Обязательство о неразглашении информации . Приложение : Соглашение 18. Согласие сотрудников на обработку своих ПДн. Приложение: Форма согласия. 19. Приказ о вводе инструкции по обработке ПДн без использования средств автоматизации. Приложение: Инструкция по обработке ПДн без использования средств автоматизации. 20. Приказ о вводе положения о порядке хранения и уничтожения ПДн. Приложение: Положение о порядке хранения и уничтожения ПДн. 21. Приказ о вводе электронного журнала обращений субъектов за ПДн. Приложение: Электронный журнал обращений. 22. Приказ о вводе инструкции по работе с обращениями субъектов за ПДн. Приложение: Инструкция по работе с обращениями субъектов за ПДн. 23. Приказ о назначении администратора безопасности ПДн. Приложение: Инструкция администратора безопасности ПДн.


Слайд 13

24. Приказ о вводе инструкции пользователей ИСПДн. Приложение : Инструкция пользователей ИСПДн. 25. Приказ об утверждении инструкции по антивирусному контролю. Приложение: Инструкция по антивирусному контролю. Журнал антивирусных проверок. 26. Приказ об утверждении инструкции по резервному копированию информации. Приложение: Инструкция по резервному копированию информации. 27. Приказ об утверждении инструкции по парольной защите. Приложение: Инструкция по парольной защите информации. 28. Журнал учёта паролей, логинов пользователей. 29. Приказ об утверждении инструкции по работе со съёмными носителями и журнала учёта съёмных носителей информации. Приложение: Инструкция по работе со съёмными носителями. Журнал учёта съёмных носителей информации. 30. Приказ об установке и вводе в эксплуатацию СЗИ. Приложение: Описание СЗИ. Акт установки СЗИ с заключением о готовности к эксплуатации. Журнал поэкземплярного учёта СЗИ. Инструкция по пользованию СЗИ.


Слайд 14

31. Листы ознакомления с нормативной базой пользователей ИСПДн. 32. План мероприятий по обеспечению защиты ПДн. 33. План внутренних проверок. 34. Акты внутренних проверок. 35. Приказ об утверждении перечня сведений, составляющих конфиденциальную информацию. Приложение: Перечень сведений, составляющих конфиденциальную информацию. 36. Приказ о создании постоянно действующей технической комиссии. Приложение: Положение о ПДТК. План работы ПДТК (на год). Протоколы заседаний (отчёты работы). 37. Приказ об утверждении инструкции по пропускной работе в защищаемые помещения. Приложение: Инструкция по пропускной работе в защищаемые помещения.


Слайд 15

РАБОТА С СКЗИ


Слайд 16

ОСНОВНЫЕ РУКОВОДЯЩИЕ ДОКУМЕНТЫ 1. Приказ ФАПСИ РФ от 23 сентября 1999 г. № 158 «Об утверждении положения о порядке разработки, производства, реализации и использования средств криптографической защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну (Положение ПКЗ-99) 2. Приказ ФАПСИ РФ от 13 июня 2001 г. № 152 «Об утверждении инструкции об организации и обеспечении безопасности хранения, обработки и передачи по каналам связи с использованием средств криптографической защиты информации с ограниченным доступом , не содержащей сведений, составляющих государственную тайну» 3. Приказ ФСБ РФ от 9 февраля 2005 г. № 66 «Об утверждении положения о разработке реализации и эксплуатации шифровальных (криптографических) средств защиты информации (Положение ПКЗ-2005)


Слайд 17

4. Типовые требования ФСБ РФ № 149/6/6-622 от 21 февраля 2008 г. По организации и обеспечению функционирования шифровальных (криптографических) средств , предназначенных для защиты информации, не содержащей сведений, составляющих государственную тайну, в случае их использования для обеспечения безопасности персональных данных при их обработке в ИСПДн 5. Типовые требования ФСБ РФ № 149/54-144 от 21 февраля 2008 г. По обеспечению с помощью криптосредств безопасности персональных данных при их обработке в ИСПДн с использованием средств автоматизации 6. Приказ ФСБ РФ от 27 декабря 2011 г. № 796 «Об утверждении Требований к средствам электронной подписи и Требований к средствам удостоверяющего центра» 7. Федеральный закон от 10 января 2002 г. № 1-ФЗ «Об электронной цифровой подписи» 8. Федеральный закон от 27 июля 2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации» 9. Постановление Пенсионного фонда РФ от 26 января 2001 г. № 15 « О введении в системе Пенсионного фонда РФ криптографической защиты информации и электронной цифровой подписи»


Слайд 18

ДОПОЛНИТЕЛЬНЫЙ ПАКЕТ ДОКУМЕНТОВ, РЕГЛАМЕНТИРУЮЩИЙ ОБРАБОТКУ ПДН С ИСПОЛЬЗОВАНИЕМ КРИПТОСРЕДСТВ Модель угроз безопасности персональных данных при их обработке в информационной системе персональных данных. Эксплуатационная и техническая документация на используемые криптосредства. Заключение о возможности эксплуатации криптосредств. Журнал учета используемых криптосредств. Журнал учета технической документации к криптосредствам. Журнал учета носителей персональных данных. Приказ о назначении лиц (пользователей криптосредств), допущенных к работе с криптосредствами. Документ, устанавливающий порядок обеспечения безопасности ПДн при помощи криптосредств. Документ, устанавливающий порядок организации контроля за соблюдением условий использования криптосредств. Документ, устанавливающий порядок хранения носителей персональных данных.


Слайд 19

Приказ о назначении ответственного пользователя криптосредств. Функциональные обязанности ответственного пользователя криптосредств. Лицевые счета на пользователей криптосредств. Технический (аппаратный) журнал регистрации разовых ключевых носителей (при необходимости). Приказ о назначении комиссии по уничтожению ключевых документов. Документ, устанавливающий требования к режимным помещениям в которых эксплуатируются криптосредства. Журнал учета хранилищ. Журнал проверок исправности сигнализации. Журнал учета ключей от хранилищ ключевых документов и технической документации. Журнал службы охраны.


Слайд 20

ТРЕБОВАНИЯ ФСБ ПО ОБЕСПЕЧЕНИЮ БЕЗОПАСНОСТИ ИНФОРМАЦИИ ПРИ ЕЁ ЗАЩИТЕ ПО УРОВНЮ «К» ОРГАНИЗАЦИОННОЕ ОБЕСПЕЧЕНИЕ БЕЗОПАСНОСТИ 1. Определяются должностные лица, ответственные за обеспечение безопасности информации и эксплуатации СКЗИ. 2. Разрабатываются нормативные документы, регламентирующие вопросы безопасности информации и эксплуатации СКЗИ. 3. К работе со СКЗИ допускаются сотрудники, имеющие навыки работы на ПЭВМ, ознакомленные с правилами эксплуатации СКЗИ. ТРЕБОВАНИЯ ПО РАЗМЕЩЕНИЮ СКЗИ И РЕЖИМУ ОХРАНЫ 1. Помещения, в которых размещаются программно-технические средства со встроенными СКЗИ, являются режимными и должны обеспечивать конфиденциальность проводимых работ. 2. Размещение режимных помещений и их оборудование должны исключать возможность бесконтрольного проникновения в них посторонних лиц и обеспечивать сохранность конфиденциальных документов и технических средств.


Слайд 21

3. Размещение оборудования, техсредств должно соответствовать требованиям техники безопасности, санитарным нормам и требованиям пожарной безопасности. 4. Входные двери в помещения должны быть оборудованы замками, обеспечивающими надёжное закрытие помещений в нерабочее время. 5. Окна и двери должны оборудованы охранной сигнализацией. 6. Размещение технических средств в режимном помещении должно исключать возможность визуального просмотра конфиденциальных документов и экранов мониторов, на которых она отражается через окна. 7. Системные блоки ЭВМ со СКЗИ оборудуются средствами контроля вскрытия. 8. Ремонт и/или последующее использование системных блоков осуществляется после удаления с них программного обеспечения СКЗИ. ТРЕБОВАНИЯ ПО ОБЕСПЕЧЕНИЮ БЕЗОПАСНОСТИ КЛЮЧЕВОЙ ИНФОРМАЦИИ 1. Носители ключей ЭЦП, шифрования и инсталляционные диски с ПО СКЗИ берутся на поэкземплярный учёт в выделенных для этих целей журналах. 2. Учёт и хранение ключей поручается специально назначенному сотруднику. 3. Носители и ключи хранятся в специально выделенном сейфе.


Слайд 22

4. Хранение ключей и инсталляционных дисков с ПО СКЗИ допускается в одном хранилище (сейфе) с другими документами при условиях, исключающих их непреднамеренное уничтожение или иное, не предусмотренное правилами пользования СКЗИ, применение. 5. Рабочие и резервные ключи хранятся раздельно, с обеспечением условия невозможности их одновременной компрометации.


Слайд 23

ПЯТЬ РАЗНЫХ СПОСОБОВ УПРОСТИТЬ ОБРАБОТКУ ПЕРСОНАЛЬНЫХ ДАННЫХ   ПОДГОТОВИТЬ БЕЗУПРЕЧНЫЙ НАБОР ДОКУМЕНТОВ (РОСКОМНАДЗОР ПРОВОДИТ ПРОВЕРКУ ТОЛЬКО ДОКУМЕНТОВ).   В ПРЕДЕЛАХ ОДНОЙ ОРГАНИЗАЦИИ ОБЪЯВИТЬ ПЕРСОНАЛЬНЫЕ ДАННЫЕ ОБЩЕДОСТУПНЫМИ.   ОБЕЗЛИЧТЬ ПЕРСОНАЛЬНЫЕ ДАННЫЕ (НОМЕР КОНТРАКТА, ИНН И Т.Д.).   ОПРЕДЕЛИТЬ ИСПДн КАК СПЕЦИАЛЬНУЮ. НАБОР СРЕДСТВ ЗАЩИТЫ ПРЕДНАЗНАЧЕН ТОЛЬКО ДЛЯ ТИПОВЫХ СИСТЕМ.    ЕСЛИ ВЫ НЕ МОЖЕТЕ КОНТРОЛИРОВАТЬ ПРОГРАММНОЕ ОБЕСПЕЧНИЕ – ТО ВСЯ СИСТЕМА ЯВЛЯЕТСЯ НЕ ВАШЕЙ, А ТОЙ КОМПАНИИ, КОТОРАЯ ЭТУ ПРОГРАММУ ВНЕДРИЛА И ТРЕБУЕТ ОТ ВАС РАБОТАТЬ С ЭТОЙ ПРОГРАММОЙ (НАЛОГОВАЯ, ПФР И Т.Д.).


Слайд 24

www.rsoc.ru - Федеральная служба по надзору в сфере связи, информационных технологий и коммуникаций (РОСКОМНАДЗОР) www.pd.rsoc.ru – Портал персональных данных www.fctec.ru - Федеральная служба по техническому и экспортному контролю (ФСТЭК России)


×

HTML:





Ссылка: