'

ДОКУМЕНТЫ ПО ЗАЩИТЕ ПЕРСОНАЛЬНЫХ ДАННЫХ

Понравилась презентация – покажи это...





Слайд 0

ДОКУМЕНТЫ ПО ЗАЩИТЕ ПЕРСОНАЛЬНЫХ ДАННЫХ НАЧАЛЬНИК ОТДЕЛА ЗАЩИТЫ ИНФОРМАЦИИ ОТ ЕЁ УТЕЧКИ ПО ТЕХНИЧЕСКИМ КАНАЛАМ ТТИ ЮФУ КОРОБИЛОВ ЮРИЙ БОРИСОВИЧ


Слайд 1

8 (8634) 68-18-79 8-952-57-91-898 ozi@tsure.ru kor-yurii@yandex.ru


Слайд 2

ОСНОВНЫЕ РЕГЛАМЕНТИРУЮЩИЕ ДОКУМЕНТЫ Федеральный закон от 27.07.2006 N 149-ФЗ  «Об информации, информационных технологиях и о защите информации» Постановление Правительства №781  от 17 ноября 2007 года «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных» Постановление Правительства РФ №687  от 15.09.2008 г. «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации» Постановление Правительства РФ №512  от 06.07.2008 г. «Об утверждении требований к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных» Приказ ФСТЭК, ФСБ, Мининформсвязи №55/86/20  от 13.02.2008 г. «Об утверждении порядка проведения классификации информационных систем персональных данных» Приказ Федеральной службы по надзору в сфере массовых коммуникаций, связи и охраны культурного наследия №154  от 28 марта 2008 г. «Об утверждении Положения о ведении реестра операторов, осуществляющих обработку персональных данных» Приказ Федеральной службы по надзору в сфере связи и массовых коммуникаций (РОССВЯЗЬКОМНАДЗОР) №8  от 17 июля 2008 г. «Об утверждении образца формы уведомления об обработке персональных данных»


Слайд 3

МЕТОДИЧЕСКИЕ ДОКУМЕНТЫ РЕГУЛЯТОРОВ ФСТЭК России – «Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных». Утверждена Заместителем директора ФСТЭК России 15 февраля 2008 г. ФСТЭК России – «Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных». Утверждена Заместителем директора ФСТЭК России 14 февраля 2008 г. ФСБ РФ – «Методические рекомендации по обеспечению с помощью криптосредств безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств автоматизации». Утверждены руководством 8 Центра ФСБ России 21 февраля 2008 г. №149/5-144 ФСБ РФ – «Типовые требования по организации и обеспечению функционирования шифровальных (криптографических) средств, предназначенных для защиты информации, не содержащей сведений, составляющих государственную тайну в случае их использования для обеспечения безопасности персональных данных при обработке в информационных системах персональных данных». Утверждены руководством 8 Центра ФСБ России 21 февраля 2008 г. №149/6/6-622.  


Слайд 4

ОСНОВНЫЕ ТИПОВЫЕ ЗАДАЧИ


Слайд 5

ОПРЕДЕЛЕНИЕ ОБЛАСТИ ВНЕДРЕНИЯ Определить объекты в границах которых будут осуществляться мероприятия по реализации требований закона к порядку обработки персональных данных


Слайд 6

НАЗНАЧЕНИЕ ОТВЕТСТВЕННЫХ ЛИЦ определить структурное подразделение или должностное лицо, ответственное за обеспечение безопасности персональных данных


Слайд 7

РАЗРАБОТКА И УТВЕРЖДЕНИЕ ПЕРЕЧНЯ ПЕРСОНАЛЬНЫХ ДАННЫХ Необходимо определить состав обрабатываемых ПДн, цели и условия обработки, сроки хранения ПДн различных категорий.


Слайд 8

УСТАНОВЛЕНИЕ НЕОБХОДИМОГО УРОВНЯ ПРАВООТНОШЕНИЙ МЕЖДУ ОПЕРАТОРОМ И СУБЪЕКТОМ ПЕРСОНАЛЬНЫХ ДАННЫХ Получить согласие субъектов на обработку их ПДн


Слайд 9

КЛАССИФИКАЦИЯ ИСПДН ИСПДн, подлежащие защите, должны быть однозначно идентифицированы как совокупности конкретных технических средств, размещённых внутри конкретных контролируемых зон и предназначенных для обработки конкретных категорий ПДн с конкретными целями. Должна быть проведена их классификация. На каждую ИСПДн должен быть оформлен отдельный Акт классификации


Слайд 10

РАЗРАБОТКА МОДЕЛИ УГРОЗ И ТРЕБОВАНИЙ К СИСТЕМЕ ЗАЩИТЫ Модель угроз разрабатывается в соответствии с методическими документами ФСТЭК и ФСБ Требования по обеспечению безопасности ПДн разрабатываются на основе модели угроз с учётом установленного класса ИСПДн и включаются в техническое (частное техническое) задание на разработку СЗПд


Слайд 11

ПРОЕКТИРОВАНИЕ И СОЗДАНИЕ ИСПДН В каждой информационной системе, предназначенной для обработки ПДн, должна быть спроектирована и создана система защиты персональных данных, соответствующая требованиям руководящих и нормативно-методических документов ФСТЭК и ФСБ по защите информации. Порядок проектирования определяется рядом государственных стандартов и руководящих документов ФСТЭК России


Слайд 12

ОБЕСПЕЧЕНИЕ КОНТРОЛЯ НАД ОБЕСПЕЧЕНИЕМ УРОВНЯ ЗАЩИЩЁННОСТИ ПДН. Проводится периодический контроль эффективности применяемых мер защиты, в том числе с применением специальных сертифицированных средств контроля


Слайд 13

НАПРАВЛЕНИЕ УВЕДОМЛЕНИЯ О НАЧАЛЕ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ Выполнив все установленные к СЗПДн в своей информационной системе, оператор получает право начать обработку персональных данных. До начала обработки он обязан уведомить об этом уполномоченный орган по защите прав субъектов персональных данных (Роскомнадзор). Порядок уведомления, содержание представляемых материалов, а также случаи, когда разрешается осуществлять обработку ПДн без уведомления уполномоченного органа, определены в ФЗ-152


Слайд 14

ПОЛУЧЕНИЕ ЛИЦЕНЗИЙ ФСТЭК РОССИИ И ФСБ РОССИИ В ряде предусмотренных федеральным законодательством случаев организация, осуществляющая деятельность, связанную с использованием сертифицированных средств криптографической защиты информации, либо деятельность в области технической защиты конфиденциальной информации должна получить соответствующие лицензии


Слайд 15

ВЫПОЛНЕНИЕ ПРОЧИХ ТРЕБОВАНИЙ ЗАКОНА Федеральным законом № 152 и подзаконными актами установлен ряд других норм и требований, которые могут иметь отношение не ко всем операторам и которые должны исполняться теми из них, для кого это является производственной необходимостью. Это и обработка биометрических персональных данных, и вопросы трансграничной передачи персональных данных, и учёт особенностей обработки персональных данных без использования средств автоматизации. При наличии таких оснований требуется выработка специальных мер, разработка процедур и издание внутренних организационно-распорядительных документов, регулирующих данные процессы


Слайд 16

ПЕРЕЧЕНЬ ОСНОВНЫХ ДОКУМЕНТЫ


Слайд 17

1. Политика (Концепция) информационной безопасности организации 2. Уведомление в Роскомнадзор об обработке ПДн 3. Приказ о введении режима обработки и защиты персональных данных в организации. 4. Приказ об утверждении «Положения об обработке ПДн». Приложение: «Положение об обработке ПДн». 5. Приказ о создании комиссии для проведения классификации ИСПДн. Приложение: Акт классификации ИСПДн. 6. Приказ «Об утверждении частной модели угроз безопасности ПДн в ИСПДн»(ДСП). Приложение: Частная модель угроз безопасности ПДн (ДСП). 7. Описание технологического процесса обработки информации. 8. Аттестация или декларирование соответствия. Приложение: Протокол оценки соответствия 9.Приказ о назначении ответственного сотрудника (подразделения) за осуществление мероприятий по защите информации. 10. Приказ о допуске сотрудников к обработке ПДн. Приложение: Список сотрудников, допущенных к работе с ПДн. 11. Приказ об определении перечня обрабатываемых ПДн Приложение: Перечень обрабатываемых данных.


Слайд 18

16. Приказ об определении помещений, где обрабатываются ПДн. Приложение : Технические паспорта на защищаемые помещения. 17. Приказ об установлении границ контролируемой зоны. Приложение: Схема контролируемой зоны. 18.. Обязательство о неразглашении информации . Приложение : Соглашение 18. Согласие сотрудников на обработку своих ПДн. Приложение: Форма согласия. 19. Приказ о вводе инструкции по обработке ПДн без использования средств автоматизации. Приложение: Инструкция по обработке ПДн без использования средств автоматизации. 20. Приказ о вводе положения о порядке хранения и уничтожения ПДн. Приложение: Положение о порядке хранения и уничтожения ПДн. 21. Приказ о вводе электронного журнала обращений субъектов за ПДн. Приложение: Электронный журнал обращений. 22. Приказ о вводе инструкции по работе с обращениями субъектов за ПДн. Приложение: Инструкция по работе с обращениями субъектов за ПДн. 23. Приказ о назначении администратора безопасности ПДн. Приложение: Инструкция администратора безопасности ПДн.


Слайд 19

24. Приказ о вводе инструкции пользователей ИСПДн. Приложение : Инструкция пользователей ИСПДн. 25. Приказ об утверждении инструкции по антивирусному контролю. Приложение: Инструкция по антивирусному контролю. Журнал антивирусных проверок. 26. Приказ об утверждении инструкции по резервному копированию информации. Приложение: Инструкция по резервному копированию информации. 27. Приказ об утверждении инструкции по парольной защите. Приложение: Инструкция по парольной защите информации. 28. Журнал учёта паролей, логинов пользователей. 29. Приказ об утверждении инструкции по работе со съёмными носителями и журнала учёта съёмных носителей информации. Приложение: Инструкция по работе со съёмными носителями. Журнал учёта съёмных носителей информации. 30. Приказ об установке и вводе в эксплуатацию СЗИ. Приложение: Описание СЗИ. Акт установки СЗИ с заключением о готовности к эксплуатации. Журнал поэкземплярного учёта СЗИ. Инструкция по пользованию СЗИ.


Слайд 20

31. Листы ознакомления с нормативной базой пользователей ИСПДн. 32. План мероприятий по обеспечению защиты ПДн. 33. План внутренних проверок. 34. Акты внутренних проверок. 35. Приказ об утверждении перечня сведений, составляющих конфиденциальную информацию. Приложение: Перечень сведений, составляющих конфиденциальную информацию. 36. Приказ о создании постоянно действующей технической комиссии. Приложение: Положение о ПДТК. План работы ПДТК (на год). Протоколы заседаний (отчёты работы). 37. Приказ об утверждении инструкции по пропускной работе в защищаемые помещения. Приложение: Инструкция по пропускной работе в защищаемые помещения.


Слайд 21

РАБОТА С СКЗИ


Слайд 22

ОСНОВНЫЕ РУКОВОДЯЩИЕ ДОКУМЕНТЫ 1. Приказ ФАПСИ РФ от 23 сентября 1999 г. № 158 «Об утверждении положения о порядке разработки, производства, реализации и использования средств криптографической защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну (Положение ПКЗ-99) 2. Приказ ФАПСИ РФ от 13 июня 2001 г. № 152 «Об утверждении инструкции об организации и обеспечении безопасности хранения, обработки и передачи по каналам связи с использованием средств криптографической защиты информации с ограниченным доступом , не содержащей сведений, составляющих государственную тайну» 3. Приказ ФСБ РФ от 9 февраля 2005 г. № 66 «Об утверждении положения о разработке реализации и эксплуатации шифровальных (криптографических) средств защиты информации (Положение ПКЗ-2005)


Слайд 23

4. Типовые требования ФСБ РФ № 149/6/6-622 от 21 февраля 2008 г. По организации и обеспечению функционирования шифровальных (криптографических) средств , предназначенных для защиты информации, не содержащей сведений, составляющих государственную тайну, в случае их использования для обеспечения безопасности персональных данных при их обработке в ИСПДн 5. Типовые требования ФСБ РФ № 149/54-144 от 21 февраля 2008 г. По обеспечению с помощью криптосредств безопасности персональных данных при их обработке в ИСПДн с использованием средств автоматизации 6. Приказ ФСБ РФ от 27 декабря 2011 г. № 796 «Об утверждении Требований к средствам электронной подписи и Требований к средствам удостоверяющего центра» 7. Федеральный закон от 10 января 2002 г. № 1-ФЗ «Об электронной цифровой подписи» 8. Федеральный закон от 27 июля 2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации» 9. Постановление Пенсионного фонда РФ от 26 января 2001 г. № 15 « О введении в системе Пенсионного фонда РФ криптографической защиты информации и электронной цифровой подписи»


Слайд 24

ДОПОЛНИТЕЛЬНЫЙ ПАКЕТ ДОКУМЕНТОВ, РЕГЛАМЕНТИРУЮЩИЙ ОБРАБОТКУ ПДН С ИСПОЛЬЗОВАНИЕМ КРИПТОСРЕДСТВ Модель угроз безопасности персональных данных при их обработке в информационной системе персональных данных. Эксплуатационная и техническая документация на используемые криптосредства. Заключение о возможности эксплуатации криптосредств. Журнал учета используемых криптосредств. Журнал учета технической документации к криптосредствам. Журнал учета носителей персональных данных. Приказ о назначении лиц (пользователей криптосредств), допущенных к работе с криптосредствами. Документ, устанавливающий порядок обеспечения безопасности ПДн при помощи криптосредств. Документ, устанавливающий порядок организации контроля за соблюдением условий использования криптосредств. Документ, устанавливающий порядок хранения носителей персональных данных.


Слайд 25

Приказ о назначении ответственного пользователя криптосредств. Функциональные обязанности ответственного пользователя криптосредств. Лицевые счета на пользователей криптосредств. Технический (аппаратный) журнал регистрации разовых ключевых носителей (при необходимости). Приказ о назначении комиссии по уничтожению ключевых документов. Документ, устанавливающий требования к режимным помещениям в которых эксплуатируются криптосредства. Журнал учета хранилищ. Журнал проверок исправности сигнализации. Журнал учета ключей от хранилищ ключевых документов и технической документации. Журнал службы охраны.


Слайд 26

ТРЕБОВАНИЯ ФСБ ПО ОБЕСПЕЧЕНИЮ БЕЗОПАСНОСТИ ИНФОРМАЦИИ ПРИ ЕЁ ЗАЩИТЕ ПО УРОВНЮ «К» ОРГАНИЗАЦИОННОЕ ОБЕСПЕЧЕНИЕ БЕЗОПАСНОСТИ 1. Определяются должностные лица, ответственные за обеспечение безопасности информации и эксплуатации СКЗИ. 2. Разрабатываются нормативные документы, регламентирующие вопросы безопасности информации и эксплуатации СКЗИ. 3. К работе со СКЗИ допускаются сотрудники, имеющие навыки работы на ПЭВМ, ознакомленные с правилами эксплуатации СКЗИ. ТРЕБОВАНИЯ ПО РАЗМЕЩЕНИЮ СКЗИ И РЕЖИМУ ОХРАНЫ 1. Помещения, в которых размещаются программно-технические средства со встроенными СКЗИ, являются режимными и должны обеспечивать конфиденциальность проводимых работ. 2. Размещение режимных помещений и их оборудование должны исключать возможность бесконтрольного проникновения в них посторонних лиц и обеспечивать сохранность конфиденциальных документов и технических средств.


Слайд 27

3. Размещение оборудования, техсредств должно соответствовать требованиям техники безопасности, санитарным нормам и требованиям пожарной безопасности. 4. Входные двери в помещения должны быть оборудованы замками, обеспечивающими надёжное закрытие помещений в нерабочее время. 5. Окна и двери должны оборудованы охранной сигнализацией. 6. Размещение технических средств в режимном помещении должно исключать возможность визуального просмотра конфиденциальных документов и экранов мониторов, на которых она отражается через окна. 7. Системные блоки ЭВМ со СКЗИ оборудуются средствами контроля вскрытия. 8. Ремонт и/или последующее использование системных блоков осуществляется после удаления с них программного обеспечения СКЗИ. ТРЕБОВАНИЯ ПО ОБЕСПЕЧЕНИЮ БЕЗОПАСНОСТИ КЛЮЧЕВОЙ ИНФОРМАЦИИ Носители ключей ЭЦП, шифрования и инсталляционные диски с ПО СКЗИ берутся на поэкземплярный учёт в выделенных для этих целей журналах. Учёт и хранение ключей поручается специально назначенному сотруднику. 3. Носители и ключи хранятся в специально выделенном сейфе.


Слайд 28

Хранение ключей и инсталляционных дисков с ПО СКЗИ допускается в одном хранилище (сейфе) с другими документами при условиях, исключающих их непреднамеренное уничтожение или иное, не предусмотренное правилами пользования СКЗИ, применение. 5. Рабочие и резервные ключи хранятся раздельно, с обеспечением условия невозможности их одновременной компрометации.


Слайд 29

ПЯТЬ РАЗНЫХ СПОСОБОВ УПРОСТИТЬ ОБРАБОТКУ ПЕРСОНАЛЬНЫХ ДАННЫХ   ПОДГОТОВИТЬ БЕЗУПРЕЧНЫЙ НАБОР ДОКУМЕНТОВ (РОСКОМНАДЗОР ПРОВОДИТ ПРОВЕРКУ ТОЛЬКО ДОКУМЕНТОВ).   В ПРЕДЕЛАХ ОДНОЙ ОРГАНИЗАЦИИ ОБЪЯВИТЬ ПЕРСОНАЛЬНЫЕ ДАННЫЕ ОБЩЕДОСТУПНЫМИ.   ОБЕЗЛИЧТЬ ПЕРСОНАЛЬНЫЕ ДАННЫЕ (НОМЕР КОНТРАКТА, ИНН И Т.Д.).   ОПРЕДЕЛИТЬ ИСПДн КАК СПЕЦИАЛЬНУЮ. НАБОР СРЕДСТВ ЗАЩИТЫ ПРЕДНАЗНАЧЕН ТОЛЬКО ДЛЯ ТИПОВЫХ СИСТЕМ.    ЕСЛИ ВЫ НЕ МОЖЕТЕ КОНТРОЛИРОВАТЬ ПРОГРАММНОЕ ОБЕСПЕЧНИЕ – ТО ВСЯ СИСТЕМА ЯВЛЯЕТСЯ НЕ ВАШЕЙ, А ТОЙ КОМПАНИИ, КОТОРАЯ ЭТУ ПРОГРАММУ ВНЕДРИЛА И ТРЕБУЕТ ОТ ВАС РАБОТАТЬ С ЭТОЙ ПРОГРАММОЙ (НАЛОГОВАЯ, ПФР И Т.Д.).


Слайд 30

www.rsoc.ru - Федеральная служба по надзору в сфере связи, информационных технологий и коммуникаций (РОСКОМНАДЗОР) www.pd.rsoc.ru – Портал персональных данных www.fctec.ru - Федеральная служба по техническому и экспортному контролю (ФСТЭК России)


×

HTML:





Ссылка: