Сафонов Сергей Александрович заместитель начальника отдела по информационной безопасности

1. Защита персональных данныхИзменение законодательстваи преемственностьорганизационно-технических решений Сафонов Сергей Александрович заместитель начальника отдела по информационной безопасности ФГБУ «Федеральный центр тестирования» 2013г.

2. Содержание • Законодательные и нормативно – правовые документы, регламентирующие вопросы защиты персональных данных • Проекты документов ФСТЭК России, регламентирующих требования о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах

3. Нормативная база • Федеральный закон от 27 июля 2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации» • Федеральный закон от 27 июля 2006 г. № 152-ФЗ «О персональных данных» • Постановление Правительства РФ от 01 ноября 2012 г. №1119г. «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных» • Проекты Приказов ФСТЭК России «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных» и «Об утверждении требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах»

4. Нормативная база • В соответствии с Постановлением Правительства РФ от 01 ноября 2012 г. №1119г. признано утратившим силу постановление Правительства Российской Федерации от 17 ноября 2007 г. № 781 «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных». • Во исполнение Постановления Правительства РФ от 01 ноября 2012 г. №1119г. ФСТЭК России подготовлены и находятся на согласовании в Минюсте: • - Приказ ФСТЭК России «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных» • - Приказ ФСТЭК России «Об утверждении требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах»

5. Анализ изменений • Проведенный анализ проектов нормативных документов ФСТЭК России показывает, что в целом подход к защите ПДн остается прежним, за исключением того, что выбор мер и средств защиты ИСПДн осуществляется операторами исходя из актуальности угроз и необходимости обеспечения требуемого уровня защищенности. • Для ПДн, обрабатываемых в государственных информационных системах выполнение требований о защите информации является обязательным. • Меры по обеспечению безопасности персональных данных в государственных информационных системах принимаются в соответствии с требованиями о защите информации, не содержащей государственную тайну, содержащейся в государственных информационных системах, устанавливаемыми ФСТЭК России в пределах своих полномочий.

6. Типы угроз • Постановление № 1119 устанавливает 4-е уровня защищенности ПДн в зависимости от типа угроз, актуальных для информационной системы

7. Требования Постановления Правительства РФ • от 27 января 2012 г. № 36 • «Об утверждении правил формирования и ведения федеральной информационной системы обеспечения проведения единого государственного экзамена и приема граждан в образовательные учреждения среднего профессионального образования и образовательные учреждения высшего профессионального образования и региональных информационных систем обеспечения проведения единого государственного экзамена» • Федеральная и региональные информационные системы являются государственными информационными системами. • Обладателем информации, содержащейся в федеральной информационной системе, является Российская Федерация. От имени Российской Федерации правомочия обладателя информации, содержащейся в указанной системе, осуществляются Федеральной службой по надзору в сфере образования и науки

8. Критерии классификации государственных информационных систем • В соответствии с проектом Приказа ФСТЭК России «Об утверждении требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах» • При обработке в государственной информационной системе информации, содержащей персональные данные, для обеспечения первого уровня защищенности персональных данных, установленного в соответствии с Требованиями к защите персональных при их обработке в информационных системах персональных данных, утвержденными постановлением Правительства Российской Федерации от 1 ноября 2012 г. № 1119, государственной информационной системе не может быть присвоен класс защищенности ниже чем К1.Для второго уровня - ниже чем К2.Для третьего уровня - ниже чем К3.Для четвертого уровня - К4 или боле высокий.

9. Требования к системе защиты ПДн • в государственных информационных системах Система защиты включает следующие меры защиты информации: - обеспечение доверенной загрузки; - идентификацию и аутентификацию субъектов доступа и объектов доступа; - управление доступом субъектов доступа к объектам доступа; - ограничение программной среды; - защиту машинных носителей информации; - регистрацию событий безопасности; - обеспечение целостности информационной системы и информации; - защиту среды виртуализации; - защиту технических средств; - защиту информационной системы, ее средств и систем связи и передачи данных.

10. Выводы • Концепция защиты информации (ПДн)ФИС ЕГЭ и приема не изменилась • Региональные информационные системы взаимодействуют с ФИС по прежней схемес обеспечением выполнения требованийпо информационной безопасности

11. Спасибо за внимание ! Федеральное государственное бюджетное учреждение «Федеральный центр тестирования» Юридический и почтовый адрес: 119049, Москва, Ленинский проспект, д. 2а +7 (495) 530-10-00 секретариат test@rustest.ru www.rustest.ru