1 / 25

Защита персональных данных

Защита персональных данных. Обязанности оператора автоматизированной информационной системы по защите персональных данных. Федеральный закон от 27 июля 2006 г. № 152-ФЗ «О персональных данных».

kiefer
Download Presentation

Защита персональных данных

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Защита персональных данных Обязанности оператора автоматизированной информационной системы по защите персональных данных

  2. Федеральный закон от 27 июля 2006 г. № 152-ФЗ «О персональных данных» • Ст. 3. Оператор – государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными. • Ст. 19. Оператор при обработке персональных данных обязан принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты персональных данных от неправомерного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий.

  3. АУ УР «РЦИиОКО» является оператором ИСПДн • Государственные ИС: • Федеральная ИС «ЕГЭ и ГИА» • Региональная ИС «ЕГЭ» • Региональная ИС «ГИА-9» • Региональных нет • ИС с персональными данными: • Ведомственные ИС • АИС «Электронная школа» • АИС «Электронный колледж» • Внутренние ИС

  4. Требования к защите • «Требования к защите персональных данных при их обработке в информационных системах персональных данных», утверждены постановлением Правительства Российской Федерации от 1 ноября 2012 г. № 1119

  5. Состав мер по защите • «Состав и содержание организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных», утверждены приказом ФСТЭК России от 18 февраля 2013 г. № 21, зарегистрированы в Министерстве юстиции Российской Федерации, регистрационный № 28375 от 14 мая 2013

  6. Необходимые меры • Организационное меры - это мероприятия, проведение которых не требует применения специально разработанных технических средств • Технические меры предусматривают применение специальных технических средств и реализацию технических решений

  7. Мероприятия по обеспечению защиты информации, содержащейся в информационной системе: • формирование требований к защите информации, содержащейся в информационной системе • разработка системы защиты информации информационной системы • внедрение системы защиты информации информационной системы • обеспечение защиты информации в ходе эксплуатации информационной системы

  8. Ответственный за обеспечение безопасности персональных данных В соответствии с «Требованиями к защите персональных данных…», утвержденными постановлением Правительства Российской Федерации № 1119: • для обеспечения 3-го и 2-го уровней защищенности персональных данных назначается должностное лицо, ответственное за обеспечение безопасности персональных данных в информационной системе

  9. Формирование требований к системе защиты информации • принятие решения о необходимости защиты информации, содержащейся в информационной системе • определение уровней защищенности персональных данных в информационной системе, при обработке персональных данных в государственной информационной системе - определяется класс защищенности информационной системы • определение актуальных угроз безопасности информации и разработку на их основе модели угроз безопасности информации • определение требований к системе защиты информации информационной системы

  10. Определение защищаемой информации • В целях определения защищаемой информации, то есть – персональных данных, подвергающихся автоматизированной обработке, технических средств, в которых она циркулирует, программных продуктов, с использованием которых осуществляется обработка, а также объектов и субъектов доступа и собственно технологии обработки персональных данных, рекомендуется провести обследование эксплуатируемых информационных систем или другими словами инвентаризацию

  11. Объекты защиты в информационной системе • информация – персональные данные • технические средства • программное обеспечение: общесистемное, прикладное, специальное • средства защиты информации

  12. Состав технического паспорта • В техническом паспорте рекомендуется отразить: • состав технических средств • расположение технических средств • установленные программные средства • установленные средства защиты

  13. Состав описания технологического процесса обработки информации • описание объектов доступа - к каким защищаемым техническим средствам и информационным ресурсам будет осуществляться доступ • описание субъектов доступа - какие лица и (или) технические средства будут осуществлять доступ к объектам доступа • особенности технологического процесса обработки информации, а именно, каким образом и с каких носителей информация вводится в ИСПДн, каким образом и на какие носители информация выводится, осуществляется ли обмен информацией со сторонними организациями, если да, то каким образом, с использованием каких носителей, по каким каналам связи

  14. Определение уровня защищенности • Уровни защищенности персональных данных устанавливается в соответствии с «Требованиями к защите персональных данных при их обработке в информационных системах персональных данных», утвержденных постановлением Правительства Российской Федерации от 1 ноября 2012 г. № 1119. • Устанавливаются 4 уровня защищенности. • самый низкий класс – четвертый,самый высокий - первый

  15. Требования для 4 уровня защищенности • организация режима обеспечения безопасности помещений, в которых размещена информационная система, препятствующего возможности неконтролируемого проникновения или пребывания в этих помещениях лиц, не имеющих права доступа в эти помещения; • обеспечение сохранности носителей персональных данных; • утверждение руководителем оператора документа, определяющего перечень лиц, доступ которых к персональным данным, обрабатываемым в информационной системе, необходим для выполнения ими служебных (трудовых) обязанностей; • использование средств защиты информации, прошедших процедуру оценки соответствия требованиям законодательства Российской Федерации в области обеспечения безопасности информации, в случае, когда применение таких средств необходимо для нейтрализации актуальных угроз.

  16. Требования для 3 уровня защищенности Для обеспечения 3 уровня защищенности персональных данных необходимо выполнение требований для 4 уровня и, кроме того: • необходимо, чтобы было назначено должностное лицо(работник), ответственный за обеспечение безопасности персональных данных в информационной системе.

  17. Состав мер по обеспечению безопасности персональных данных: • идентификация и аутентификация субъектов доступа и объектов доступа • управление доступом субъектов доступа к объектам доступа • ограничение программной среды • регистрация событий безопасности • антивирусная защита • обнаружение вторжений • контроль (анализ) защищенности персональных данных • обеспечение целостности информационной системы и персональных данных • обеспечение доступности персональных данных • защита среды виртуализации • защита технических средств • защита информационной системы, ее средств, систем связи и передачи данных • выявление инцидентов безопасности информации и реагирование на них • управление конфигурацией информационной системы и системы защиты персональных данных

  18. Внедрение системы защиты информации • установка и настройка средств защиты информации • разработка организационно-распорядительных документов • внедрение организационных мер • предварительные испытания • опытная эксплуатация • анализ уязвимостей • приемочные испытания

  19. Организационно-распорядительные документы устанавливают правила и процедуры по: • идентификации и аутентификации субъектов доступа • управлению доступом • защите информации при использовании машинных носителей информации, в том числе порядок учета и хранения носителей • регистрации событий безопасности • обеспечению целостности информационной системы и информации • физической защите технических средств, в том числе порядок доступа в служебные помещения • управлению конфигурацией, в том числе порядок обновления ПО и контроля за несанкционированными подключениями технических средств и несанкционированной установкой ПО • периодическому анализу угроз безопасности информации • выявлению и реагированию на инциденты, связанные с обработкой и защитой информации • обслуживанию системы защиты • обучению и информированию пользователей

  20. Контролю и анализу в первую очередь должны подвергаться: • администрирование ИСПДн • подключения внешних носителей к ИСПДн • перенос информации с внешних носителей в ИСПДн • перенос информации с ИСПДн на внешние носители • вывод информации на «твердую копию» • передача персональных данных по внешним каналам связи

  21. Цели служебного расследования инцидентов, связанных с безопасностью информации: • установление, привели ли нарушения требований к нарушению безопасности персональных данных, например их утечке, нарушению целостности, утере, или нет • если да, установление, какие именно угрозы были реализованы • установление причин появления нарушения • выработка и реализация мер защиты

  22. Оценка эффективности принятых мер • Оценка эффективности реализованных в рамках системы защиты персональных данных мер по обеспечению безопасности персональных данных проводится оператором самостоятельно или с привлечением на договорной основе юридических лиц и индивидуальных предпринимателей, имеющих лицензию на осуществление деятельности по технической защите конфиденциальной информации. • Указанная оценка проводится не реже одного раза в 3 года.

  23. Наиболее важные мероприятия по защите информации в ходе эксплуатации системы защиты • контроль состояния защиты информации, включая контроль за событиями и действиями пользователей • обнаружение и регистрация инцидентов, выявление их причин, принятие мер по предупреждению и устранению инцидентов • анализ и оценка функционирования системы защиты с целью выявления и устранения недостатков и совершенствования • периодический анализ уязвимостей • анализ изменения угроз и выявление новых угроз • анализ влияния на систему защиты планируемых изменений в информационной системе

  24. Рекомендации: • Обеспечение неизменности состава технических и программных средств, а также средств защиты и их настроек, соблюдение утвержденного технологического процесса обработки информации и принятие мер по нейтрализации актуальных угроз, определенных в модели угроз – основные задачи, решение которых обеспечивает высокую степень защищенности информации в информационной системе

  25. Спасибо за внимание! Контакты: АУ УР «РЦИ и ОКО» Павлов Александр Владиславович Тел.: 33-43-73 Электронная почта: pavlov.av@obr18.ru

More Related