Правительство Самарской области

1. 1 Правительство Самарской области Обеспечение защиты информации и персональных данных в свете требований существующей нормативной базы

2. 2 Актуальность темы информационной безопасности

3. 3 Истоки защиты информации Как зарождалась информационная безопасность в России? В середине-конце 80-х годов в России была переведена и издана книга Дороти Деннинг "Криптография и защита данных" 82-го года издания, но книга была лишь в закрытых библиотеках. Первые статьи по ЗИ появились в 91-м году. До этого тема была закрытая, доступной только сотрудникам КГБ (а потом ФАПСИ), да ФСТЭК. Но 91-й год был не только распадом СССР, но и годом рождения коммерческого рынка ИБ. И в этом же году появились первые статьи по ИБ. Первые РД ФСТЭК появились в 92-м году. В настоящее время нормативных, методических документов уже перевалило за сотню.

4. 4 Нормативные правовые акты по ИБ и персональным данным Полные перечни этих документов по информационной безопасности имеются на Сайте ФСТЭК России, сайте департамента информационных технологий и связи Самарской области, по персональным данным на сайте ИСПДн Самарской области. .

5. 5 Нормативная база 108. Для развития системы распределенных ситуационных центров в среднесрочной перспективе потребуется преодолеть технологическое отставание в важнейших областях информатизации, телекоммуникаций и связи, определяющих состояние национальной безопасности, разработать и внедрить технологии информационной безопасности в системах государственного и военного управления, системах управления экологически опасными производствами и критически важными объектами, а также обеспечить условия для гармонизации национальной информационной инфраструктуры с глобальными информационными сетями и системами. 109. Угрозы информационной безопасности в ходе реализации настоящей Стратегии предотвращаются за счет совершенствования безопасности функционирования информационных и телекоммуникационных систем критически важных объектов инфраструктуры и объектов повышенной опасности в Российской Федерации, повышения уровня защищенности корпоративных и индивидуальных информационных систем, создания единой системы информационно-телекоммуникационной поддержки нужд системы обеспечения национальной безопасности.

6. 6 Нормативная база Доктрина развивает Концепцию национальной безопасности РФ в информационной сфере. Доктрина информационной безопасности РФ представляет собой совокупность официальных взглядов на цели, задачи, принципы и основные направления обеспечения ИБ РФ. Доктрина служит основой для: - формирования государственной политики в области обеспечения ИБ РФ; - подготовки предложений по совершенствованию обеспечения информационной безопасности РФ; - разработки целевых программ обеспечения информационной безопасности РФ. Утверждена Президентом Российской Федерации 9 сентября 2000 г. № Пр-1895

7. 7 Нормативная база

8. 8 Нормативная база

9. 9 Нормативная база

10. 10 Информационные системы Информационная система - совокупность содержащейся в базах данных информации и обеспечивающих ее обработку информационных технологий и технических средств (ч.3 ст.2 149-ФЗ) Общедоступная информация Информационные системы по предоставлению государственных и муниципальных услуг Информационные системы по обработке конфиденциального характера Федеральный закон от 9.02.2009 № 8-ФЗ «Об обеспечении доступа к информации о деятельности государственных органов и органов местного самоуправления» Федеральный закон от 27.07.2010 N 210-ФЗ «Об организации предоставления государственных и муниципальных услуг» Указ Президента РФ от 6.03.1997 «Об утверждении сведений конфиденциального характера» Федеральный закон от 27.07.2006 N 152-ФЗ «О персональных данных»

11. 11 Информационные системы Общедоступная информация Информационные системы по предоставлению государственных и муниципальных услуг Информационные системы по обработке информации конфиденциального характера Общедоступная информация ИС подлежит защите при их подключении к информационно-телекоммуникационным сетям. Требования по ЗИ изложены в: - постановлении Правительства РФ от 18.05.2009 № 424 «Об особенностях подключения федеральных ГИС к информационно-телекоммуникационным сетям»; - приказе Минкомсвязи РФ от 25.08.2009 № 104 «Об утверждении Требований по обеспечению целостности, устойчивости функционирования и безопасности ИС общего пользования»; - приказе ФСБ и ФСТЭК № 416/489 «Об утверждении требований по защите информации, содержащейся в ИС общего пользования»» При предоставлении услуг используется межведомственное электронное взаимодействие Требования по ЗИ изложены в: - постановлении Правительства РФ от 8.09.2010 № 697 «О единой системе межведомственного электронного взаимодействия», - приказе Министерства связи и массовых коммуникаций РФ от 27.12.2010 № 190 «Об утверждении Технических требований к взаимодействию информационных систем в единой системе межведомственного электронного взаимодействия» слуг» Постановление Правительства РФ от 1 ноября 2012 г. N 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных» Специальные требования и рекомендации по технической защите конфиденциальной информации (СТР-К). Утверждены Гостехкомиссией России 30.08.2002 г. № 282

12. 1 Правительство Самарской области Требования к защите персональных данных при их обработке в информационных системах, установленные принятым постановлением Правительства РФ от 01.11.2012 № 1119. Сравнительный анализ новых положений с утратившим силу Постановлением 2007 года 781. Практические рекомендации по применению новых положений законодательства.

13. 2 Причины выхода постановления Правительства РФ № 1119 С изменениями: от 25 ноября, 27 декабря 2009 г., 28 июня, 27 июля, 29 ноября, 23 декабря 2010 г., 4 июня, 25 июля 2011 г. Статья 19. 3. Правительство Российской Федерации с учетом возможного вреда субъекту персональных данных, объема и содержания обрабатываемых персональных данных, вида деятельности, при осуществлении которого обрабатываются персональные данные, актуальности угроз безопасности персональных данных устанавливает: 1) уровни защищенности персональных данных при их обработке в информационных системах персональных данных в зависимости от угроз безопасности этих данных; 2) требования к защите персональных данных при их обработке в информационных системах персональных данных, исполнение которых обеспечивает установленные уровни защищенности персональных данных;

14. 3 Постановление Правительства РФ №1119 Постановление Правительства от 17 ноября 2007 года № 781 утратило силу Сравнение пп № 781 и пп 1119: Требования оставшиеся без изменения - 9 Требования ушли на уровень 152-ФЗ – 3 Добавлено требований - 5 Убрано требований – более 20

15. 4 Постановление Правительства РФ №781 утратило силу 6.Информационные системы классифицируются государственными органами, муниципальными органами, юридическими или физическими лицами, организующими и (или) осуществляющими обработку персональных данных, а также определяющими цели и содержание обработки персональных данных (далее - оператор), в зависимости от объема обрабатываемых ими персональных данных и угроз безопасности жизненно важным интересам личности, общества и государства. Порядок проведения классификации информационных систем устанавливается совместно ФСТЭК, ФСБ и Министерством информационных технологий и связи Российской Федерации.

16. 5 Постановление Правительства РФ №781 утратило силу Документы изданные во исполнение постановления Правительства РФ № 781

17. 6 Постановление Правительства РФ №1119 • Структура Требований (условно): • Основные требования • п.1 – 4, 17 • 2. Типы информационных систем персональных данных • п.5 • 3. Актуальные угрозы безопасности персональных данных • п.6, 7 • 4.Уровни защищенности персональных данных • п.8 – 12 • 5. Требования для обеспечения • уровней защищенности персональных данных • (меры по защите ПДн) • п.13 - 16

18. 7 Постановление Правительства РФ №1119 1. Основные требования п.1-4, 17 1. Устанавливает требования к защите ПД и уровни защищенности таких данных 2. Безопасность ПД обеспечивается с помощью системы защиты ПД, нейтрализующей актуальные угрозы, определенные в соответствии с частью 5 статьи 19152-ФЗ. Система защиты включает в себя организационные и (или) технические меры (НПА не изданы) 3. Безопасность обеспечивает оператор этой системы или лицо, осуществляющее обработку персональных данных по поручению оператора на основании договора (уполномоченное лицо). В Договору должна предусмотрена обязанность уполномоченного лица обеспечить безопасность персональных данных. 4. Выбор средств защиты информации для системы защиты персональных данных осуществляется оператором в соответствии с НПА, принятыми ФСБ и ФСТЭК во исполнение части 4 статьи 19152-ФЗ (НПА не изданы, опубликован Проект приказа ФСТЭК 7.12.2012 взамен 58 приказа) 17. Контроль за выполнением требований организуется и проводится оператором (уполномоченным лицом) самостоятельно и (или) с привлечением на договорной основе юридических лиц и ИП, имеющих лицензию на осуществление деятельности по ТЗКИ не реже 1 раза в 3 года в сроки, определяемые оператором (уполномоченным лицом).

19. 8 Постановление Правительства РФ №1119 2.Типы ИСПДн п.5 Информационная система персональных данных является: 1. ИС, обрабатывающей специальные категорииПД, если в ней обрабатываются ПД, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни субъектов ПД 2. ИС, обрабатывающей биометрическиеПД, если в ней обрабатываются сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность и которые используются оператором для установления личности субъекта ПД, и не обрабатываются сведения, относящиеся к специальным категориям ПД 3. ИС, обрабатывающей общедоступныеперсональные данные, если в ней обрабатываются персональные данные субъектов персональных данных, полученные только из общедоступных источников персональных данных, созданных в соответствии со статьей 8 152-ФЗ 4. ИС, обрабатывающей иные категории ПД, если в ней не обрабатываются ПД, указанные в п.1 - 3 5. ИС, обрабатывающей ПД сотрудников оператора, если в ней обрабатываются ПД только указанных сотрудников 6. ИС, обрабатывающей ПД субъектов ПД, не являющихся сотрудниками оператора в остальных случаях

20. 9 Постановление Правительства РФ №1119 3. Актуальные угрозы безопасности: п.6, 7 Под актуальными угрозами безопасностиперсональных данных понимается совокупность условий и факторов, создающих актуальную опасность несанкционированного, в том числе случайного, доступа к ПДн при их обработке в ИСПДн, результатом которого могут стать уничтожение, изменение, блокирование, копирование, предоставление, распространение персональных данных, а также иные неправомерные действия. Угрозы 1-го типа актуальны для информационной системы, если для нее в том числе актуальны угрозы, связанные с наличием недокументированных (недекларированных) (НДВ) возможностей в системном программном обеспечении, используемом в информационной системе Угрозы 2-го типа актуальны для информационной системы, если для нее в том числе актуальны угрозы, связанные с наличием недокументированных (недекларированных) (НДВ) возможностей в прикладном программном обеспечении, используемом в информационной системе Угрозы 3-го типа актуальны для информационной системы, если для нее актуальны угрозы, не связанные с наличием недокументированных (недекларированных) (НДВ) возможностей в системном и прикладном программном обеспечении, используемом в информационной системе Определение типа угроз безопасности персональных данных, актуальных для информационной системы, производится оператором с учетом оценки возможного вреда, проведенной во исполнение пункта 5 части 1 статьи 18.1 Федерального закона "О персональных данных", и в соответствии с НПА, принятыми во исполнение части 5 статьи 19 Федерального закона "О персональных данных»

21. 10 Постановление Правительства РФ №1119 недекларированные возможности (НДВ)

22. 11 Постановление Правительства РФ №1119 3. Актуальные угрозы безопасности: п.6, 7 Под актуальными угрозами безопасностиперсональных данных понимается совокупность условий и факторов, создающих актуальную опасность несанкционированного, в том числе случайного, доступа к ПДн при их обработке в ИСПДн, результатом которого могут стать уничтожение, изменение, блокирование, копирование, предоставление, распространение персональных данных, а также иные неправомерные действия. Угрозы 1-го типа актуальны для информационной системы, если для нее в том числе актуальны угрозы, связанные с наличием недокументированных (недекларированных) (НДВ) возможностей в системном программном обеспечении, используемом в информационной системе Угрозы 2-го типа актуальны для информационной системы, если для нее в том числе актуальны угрозы, связанные с наличием недокументированных (недекларированных) (НДВ) возможностей в прикладном программном обеспечении, используемом в информационной системе Угрозы 3-го типа актуальны для информационной системы, если для нее актуальны угрозы, не связанные с наличием недокументированных (недекларированных) (НДВ) возможностей в системном и прикладном программном обеспечении, используемом в информационной системе Определение типа угроз безопасности персональных данных, актуальных для информационной системы, производится оператором с учетом оценки возможного вреда, проведенной во исполнение пункта 5 части 1 статьи 18.1 Федерального закона "О персональных данных", и в соответствии с НПА, принятыми во исполнение части 5 статьи 19 Федерального закона "О персональных данных»

23. 12 Постановление Правительства РФ №1119 4.Уровни защищенности п.8 – 12 При обработке ПД в ИСПДн устанавливаются четыре уровня защищенности ПД Необходимость обеспечения соответствующего уровня защищенности персональных данных при их обработке в информационной системе устанавливается при наличии хотя бы одного из следующих условий: • При определении уровня защищенности ПД учитывается показатель количества обрабатываемых ПД: • менее 100 000 субъектов ПД, не являющихся сотрудниками оператора ПД или сотрудники оператора ПД (без ограничения); • более 100 000 субъектов ПД, не являющихся сотрудниками оператора Менее 100 000 или сотрудники Более 100 000

24. 13 Постановление Правительства РФ №1119 5. Меры по защите ПДн : п.13 - 16 (в зависимости от уровня защищенности) Для обеспечения 1 - 4 уровня защищенности персональных данных при их обработке в информационной системе необходимо выполнить следующие требования:

25. 14 Постановление Правительства РФ №1119 5. Меры по защите ПДн : п.13 - 16 (в зависимости от уровня защищенности) Для обеспечения 1 - 4 уровня защищенности персональных данных при их обработке в информационной системе необходимо выполнить следующие требования:

26. 15 Обзор НПА изданных в 2012 году по ПД и ИБ Постановления Правительства РФ

27. 16 Обзор НПА изданных в 2012 году по ПД и ИБ Информационные сообщения ФСТЭК

28. 17 Обзор НПА изданных в 2012 году по ПД и ИБ Информационные сообщения ФСТЭК

29. 18 Благодарю за внимание! Департамент информационных технологий и связи Самарской областиглавный консультант управления информационной безопасностиПахомов Виктор Михайловичтел.: (846) 221-54-17email: PahomovVM@samregion.ru