Защита персональных данных
TRANSCRIPT
![Page 1: Защита персональных данных](https://reader033.vdocuments.net/reader033/viewer/2022052509/55a224501a28ab97168b45d6/html5/thumbnails/1.jpg)
Защита персональных
данных
Алексей Кураленко, преподаватель каф.РЗИ
![Page 2: Защита персональных данных](https://reader033.vdocuments.net/reader033/viewer/2022052509/55a224501a28ab97168b45d6/html5/thumbnails/2.jpg)
Персональные данные - любая информация,относящаяся к прямо или косвенноопределенному или определяемомуфизическому лицу (субъекту персональныхданных)
![Page 3: Защита персональных данных](https://reader033.vdocuments.net/reader033/viewer/2022052509/55a224501a28ab97168b45d6/html5/thumbnails/3.jpg)
Меры, направленные на
обеспечение выполнения ФЗ 1521) назначение ответственного за организацию обработки ПДн;
2) издание документов, определяющих политику оператора в
отношении обработки персональных данных, локальных актов по
вопросам обработки персональных данных, а также локальных актов,
устанавливающих процедуры, направленные на предотвращение и
выявление нарушений;
3) применение правовых, организационных и технических мер по
обеспечению безопасности ПДн;
4) осуществление внутреннего контроля и (или) аудита соответствия
обработки ПДн;
5) оценка вреда, который может быть причинен субъектам ПДн;
6) ознакомление работников оператора с требованиями к ПДн.
7) опубликование документа, определяющему политику в отношении
обработки ПДн
![Page 4: Защита персональных данных](https://reader033.vdocuments.net/reader033/viewer/2022052509/55a224501a28ab97168b45d6/html5/thumbnails/4.jpg)
Меры по обеспечению
безопасности ПДн1) определение угроз безопасности ПДн при их обработке в ИСПДн;2) применением организационных и технических мер по обеспечениюбезопасности персональных данных при их обработке в ИСПДн3) применением прошедших в установленном порядке процедуру оценкисоответствия средств защиты информации;4) оценкой эффективности принимаемых мер по обеспечению безопасностиПДн до ввода в эксплуатацию ИСПДн;5) учет машинных носителей;6) обнаружение фактов несанкционированного доступа к ПДн и принятиеммер;7) восстановление ПДн, модифицированных или уничтоженных вследствиенесанкционированного доступа к ним;8) установление правил доступа к ПДн, обрабатываемым в ИСПДн, а такжеобеспечением регистрации и учета всех действий, совершаемых с ПДн вИСПДн;9) контролем за принимаемыми мерами по обеспечению безопасности ПДн.
![Page 5: Защита персональных данных](https://reader033.vdocuments.net/reader033/viewer/2022052509/55a224501a28ab97168b45d6/html5/thumbnails/5.jpg)
Постановление Правительства
Российской Федерации от 15 сентября
2008 г. N 687 "Об утверждении
Положения об особенностях обработки
ПДн, осуществляемой без
использования средств автоматизации
![Page 6: Защита персональных данных](https://reader033.vdocuments.net/reader033/viewer/2022052509/55a224501a28ab97168b45d6/html5/thumbnails/6.jpg)
Меры по обеспечению безопасности ПДн
при их обработке, осуществляемой без
использования средств автоматизации
1.Обработка ПДн, осуществляемая без использования средствавтоматизации, должна осуществляться таким образом, чтобы в отношениикаждой категории ПДн можно было определить места хранения ПДн(материальных носителей) и установить перечень лиц, осуществляющихобработку ПДн либо имеющих к ним доступ.
2. Необходимо обеспечивать раздельное хранение ПДн (материальныхносителей), обработка которых осуществляется в различных целях.
3. При хранении материальных носителей должны соблюдаться условия,обеспечивающие сохранность ПДн и исключающие несанкционированный кним доступ. Перечень мер, необходимых для обеспечения таких условий,порядок их принятия, а также перечень лиц, ответственных за реализациюуказанных мер, устанавливаются оператором.
![Page 7: Защита персональных данных](https://reader033.vdocuments.net/reader033/viewer/2022052509/55a224501a28ab97168b45d6/html5/thumbnails/7.jpg)
Постановление Правительства РФ от
01.11.2012 г. №1119 "Об утверждении
требований к защите ПДн при их
обработке в ИСПДн
![Page 8: Защита персональных данных](https://reader033.vdocuments.net/reader033/viewer/2022052509/55a224501a28ab97168b45d6/html5/thumbnails/8.jpg)
Категории ПДн
Информационная система является ИС , обрабатывающейспециальные категории ПДн, если в ней обрабатываются ПДн,касающиеся расовой, национальной принадлежности, политическихвзглядов, религиозных или философских убеждений, состоянияздоровья, интимной жизни субъектов.
Информационная система является ИС, обрабатывающейбиометрические ПДн, если в ней обрабатываются сведения, которыехарактеризуют физиологические и биологические особенностичеловека, на основании которых можно установить его личность икоторые используются оператором для установления личностисубъекта, и не обрабатываются сведения, относящиеся к специальнымкатегориям ПДн.
![Page 9: Защита персональных данных](https://reader033.vdocuments.net/reader033/viewer/2022052509/55a224501a28ab97168b45d6/html5/thumbnails/9.jpg)
Категории ПДнИнформационная система является ИС, обрабатывающей
общедоступные ПДн, если в ней обрабатываются персональные данныесубъектов персональных данных, полученные только из общедоступныхисточников персональных данных
Информационная система является ИС , обрабатывающей иныекатегории ПДн, если в ней не обрабатываются персональные данные, неуказанные ранее.
Информационная система является ИС , обрабатывающейперсональные данные сотрудников оператора, если в нейобрабатываются персональные данные только указанных сотрудников.В остальных случаях ИСПДн является информационной системой,обрабатывающей персональные данные субъектов персональныхданных, не являющихся сотрудниками оператора.
![Page 10: Защита персональных данных](https://reader033.vdocuments.net/reader033/viewer/2022052509/55a224501a28ab97168b45d6/html5/thumbnails/10.jpg)
Угрозы Под актуальными угрозами безопасности ПДн понимаетсясовокупность условий и факторов, создающих актуальную опасностьнесанкционированного, в том числе случайного, доступа к ПДн при ихобработке в ИС, результатом которого могут стать уничтожение,изменение, блокирование, копирование, предоставление,распространение персональных данных, а также иные неправомерныедействия.
![Page 11: Защита персональных данных](https://reader033.vdocuments.net/reader033/viewer/2022052509/55a224501a28ab97168b45d6/html5/thumbnails/11.jpg)
Типы актуальных угроз
Угрозы 1-го типа актуальны для ИС , если для нее в том числеактуальны угрозы, связанные с наличием недокументированных(недекларированных) возможностей в системном программномобеспечении, используемом в ИС.
Угрозы 2-го типа актуальны для ИС, если для нее в том числеактуальны угрозы, связанные с наличием недокументированных(недекларированных) возможностей в прикладном программномобеспечении, используемом в ИС.
Угрозы 3-го типа актуальны для ИС, если для нее актуальны угрозы,не связанные с наличием недокументированных(недекларированных) возможностей в системном и прикладномпрограммном обеспечении, используемом в ИС.
![Page 12: Защита персональных данных](https://reader033.vdocuments.net/reader033/viewer/2022052509/55a224501a28ab97168b45d6/html5/thumbnails/12.jpg)
Уровни защищенности
Категория ПДнУгрозы 1 типа
Угрозы 2 типа
Угрозы 3 типа
Спец.категории ПДн более чем 100 000 субъектов ПДн, не являющихся сотрудниками оператора 1 1 2
Спец.категории ПДн сотрудников оператора или специальные категории персональных данных менее чем 100 000 субъектов ПДн, не являющихся сотрудниками оператора
1 2 3
Биометрические ПДн 1 2 3
Иные категории ПДнболее чем 100 000 субъектов ПДн, не являющихся сотрудниками оператора 1 2 3
Иные категории ПДнданных сотрудников оператора или иные категории ПДн менее чем 100000 субъектов ПДн, не являющихся сотрудниками оператора
1 3 4
Общедоступные ПДнболее чем 100 000 субъектов ПДн, не являющихся сотрудниками оператора 2 2 4
Общедоступные ПДнсотрудников оператора или общедоступные ПДн менее чем 100 000 субъектов ПДн, не являющихся сотрудниками оператора
2 3 4
![Page 13: Защита персональных данных](https://reader033.vdocuments.net/reader033/viewer/2022052509/55a224501a28ab97168b45d6/html5/thumbnails/13.jpg)
Перечень требований к 4 УЗа) организация режима обеспечения безопасности помещений, вкоторых размещена ИС, препятствующего возможностинеконтролируемого проникновения или пребывания в этихпомещениях лиц, не имеющих права доступа в эти помещения;
б) обеспечение сохранности носителей ПДн;
в) утверждение руководителем оператора документа, определяющегоперечень лиц, доступ которых к ПДн, обрабатываемым в ИС,необходим для выполнения ими служебных (трудовых) обязанностей;
г) использование средств защиты информации, прошедших процедуруоценки соответствия требованиям законодательства РоссийскойФедерации в области обеспечения безопасности информации, вслучае, когда применение таких средств необходимо длянейтрализации актуальных угроз.
![Page 14: Защита персональных данных](https://reader033.vdocuments.net/reader033/viewer/2022052509/55a224501a28ab97168b45d6/html5/thumbnails/14.jpg)
Перечень требований к 3 УЗ
а) те же требования что и для 4 УЗ
б) необходимо, чтобы было назначено должностное лицо(работник), ответственный за обеспечение безопасностиперсональных данных в информационной системе.
![Page 15: Защита персональных данных](https://reader033.vdocuments.net/reader033/viewer/2022052509/55a224501a28ab97168b45d6/html5/thumbnails/15.jpg)
Перечень требований к 2 УЗ
а) те же требования что и для 3 УЗ
б)необходимо, чтобы доступ к содержанию электронногожурнала сообщений был возможен исключительно длядолжностных лиц (работников) оператора илиуполномоченного лица, которым сведения, содержащиеся вуказанном журнале, необходимы для выполнения служебных(трудовых) обязанностей.
![Page 16: Защита персональных данных](https://reader033.vdocuments.net/reader033/viewer/2022052509/55a224501a28ab97168b45d6/html5/thumbnails/16.jpg)
Перечень требований к 1 УЗ
а) те же требования что и для 2 УЗ
б) автоматическая регистрация в электронном журналебезопасности изменения полномочий сотрудника оператора подоступу к персональным данным, содержащимся винформационной системе
в) создание структурного подразделения, ответственного заобеспечение безопасности персональных данных винформационной системе, либо возложение на одно изструктурных подразделений функций по обеспечению такойбезопасности.
![Page 17: Защита персональных данных](https://reader033.vdocuments.net/reader033/viewer/2022052509/55a224501a28ab97168b45d6/html5/thumbnails/17.jpg)
Приказ ФСТЭК России от 18 февраля
2013 г. N 21 «Об утверждении состава и
содержания организационных и
технических мер по обеспечению
безопасности ПДн при их обработке в
ИСПДн»
![Page 18: Защита персональных данных](https://reader033.vdocuments.net/reader033/viewer/2022052509/55a224501a28ab97168b45d6/html5/thumbnails/18.jpg)
Состав мер идентификация и аутентификация субъектов доступа и объектов доступа; управление доступом субъектов доступа к объектам доступа; ограничение программной среды; защита машинных носителей информации, на которых хранятся и (или)
обрабатываются ПДн; регистрация событий безопасности; антивирусная защита; обнаружение (предотвращение) вторжений; контроль (анализ) защищенности ПДн; обеспечение целостности ИСПДн; обеспечение доступности ПДн; защита среды виртуализации; защита технических средств; защита ИС, ее средств, систем связи и передачи данных; выявление инцидентов (одного события или группы событий), которые могут
привести к сбоям или нарушению функционирования ИС и (или) квозникновению угроз безопасности ПДн, и реагирование на них;
управление конфигурацией ИС и системы защиты ПДн.
![Page 19: Защита персональных данных](https://reader033.vdocuments.net/reader033/viewer/2022052509/55a224501a28ab97168b45d6/html5/thumbnails/19.jpg)
МерыМеры по идентификации и аутентификации субъектов доступа и объектов доступадолжны обеспечивать присвоение субъектам и объектам доступа уникальногопризнака (идентификатора), сравнение предъявляемого субъектом (объектом)доступа идентификатора с перечнем присвоенных идентификаторов, а такжепроверку принадлежности субъекту (объекту) доступа предъявленного имидентификатора (подтверждение подлинности).
Меры по управлению доступом субъектов доступа к объектам доступа должныобеспечивать управление правами и привилегиями субъектов доступа,разграничение доступа субъектов доступа к объектам доступа на основесовокупности установленных в информационной системе правил разграничениядоступа, а также обеспечивать контроль за соблюдением этих правил.
Меры по ограничению программной среды должны обеспечивать установку и(или) запуск только разрешенного к использованию в информационной системепрограммного обеспечения или исключать возможность установки и (или) запусказапрещенного к использованию в информационной системе программногообеспечения.
![Page 20: Защита персональных данных](https://reader033.vdocuments.net/reader033/viewer/2022052509/55a224501a28ab97168b45d6/html5/thumbnails/20.jpg)
МерыМеры по защите машинных носителей персональных данных (средствобработки (хранения) персональных данных, съемных машинных носителейперсональных данных) должны исключать возможностьнесанкционированного доступа к машинным носителям и хранящимся на нихПДн, а также несанкционированное использование съемных машинныхносителей ПДн.
Меры по регистрации событий безопасности должны обеспечивать сбор,запись, хранение и защиту информации о событиях безопасности винформационной системе, а также возможность просмотра и анализаинформации о таких событиях и реагирование на них.
Меры по антивирусной защите должны обеспечивать обнаружение винформационной системе компьютерных программ либо иной компьютернойинформации, предназначенной для несанкционированного уничтожения,блокирования, модификации, копирования компьютерной информации илинейтрализации средств защиты информации, а также реагирование наобнаружение этих программ и информации.
![Page 21: Защита персональных данных](https://reader033.vdocuments.net/reader033/viewer/2022052509/55a224501a28ab97168b45d6/html5/thumbnails/21.jpg)
МерыМеры по обнаружению (предотвращению) вторжений должны обеспечиватьобнаружение действий в информационной системе, направленных нанесанкционированный доступ к информации, специальные воздействия наинформационную систему и (или) персональные данные в целях добывания,уничтожения, искажения и блокирования доступа к ПДн, а также реагированиена эти действия.
Меры по контролю (анализу) защищенности ПДн должны обеспечиватьконтроль уровня защищенности персональных данных, обрабатываемых винформационной системе, путем проведения систематических мероприятийпо анализу защищенности информационной системы и тестированиюработоспособности системы защиты персональных данных.
Меры по обеспечению целостности информационной системы и персональныхданных должны обеспечивать обнаружение фактов несанкционированногонарушения целостности информационной системы и содержащихся в нейперсональных данных, а также возможность восстановления информационнойсистемы и содержащихся в ней ПДн.
![Page 22: Защита персональных данных](https://reader033.vdocuments.net/reader033/viewer/2022052509/55a224501a28ab97168b45d6/html5/thumbnails/22.jpg)
Меры
Меры по обеспечению доступности ПДн должны обеспечиватьавторизованный доступ пользователей, имеющих права по доступу, к ПДн,содержащимся в ИС, в штатном режиме функционирования ИС.
Меры по защите среды виртуализации должны исключатьнесанкционированный доступ к ПДн, обрабатываемым в виртуальнойинфраструктуре, и к компонентам виртуальной инфраструктуры и (или)воздействие на них, в том числе к средствам управления виртуальнойинфраструктурой, монитору виртуальных машин (гипервизору), системехранения данных (включая систему хранения образов виртуальнойинфраструктуры), сети передачи данных через элементы виртуальной илифизической инфраструктуры, гостевым операционным системам, виртуальныммашинам (контейнерам), системе и сети репликации, терминальным ивиртуальным устройствам, а также системе резервного копирования исоздаваемым ею копиям.
![Page 23: Защита персональных данных](https://reader033.vdocuments.net/reader033/viewer/2022052509/55a224501a28ab97168b45d6/html5/thumbnails/23.jpg)
МерыМеры по защите технических средств должны исключатьнесанкционированный доступ к стационарным техническим средствам,обрабатывающим персональные данные, средствам, обеспечивающимфункционирование информационной системы (далее - средства обеспеченияфункционирования), и в помещения, в которых они постоянно расположены,защиту технических средств от внешних воздействий, а также защитуперсональных данных, представленных в виде информативных электрическихсигналов и физических полей.
Меры по защите информационной системы, ее средств, систем связи ипередачи данных должны обеспечивать защиту персональных данных привзаимодействии информационной системы или ее отдельных сегментов сиными информационными системами и информационно-телекоммуникационными сетями посредством применения архитектурыинформационной системы и проектных решений, направленных наобеспечение безопасности персональных данных.
![Page 24: Защита персональных данных](https://reader033.vdocuments.net/reader033/viewer/2022052509/55a224501a28ab97168b45d6/html5/thumbnails/24.jpg)
Меры
Меры по выявлению инцидентов и реагированию на них должныобеспечивать обнаружение, идентификацию, анализ инцидентов винформационной системе, а также принятие мер по устранению ипредупреждению инцидентов.
Меры по управлению конфигурацией информационной системы и системызащиты персональных данных должны обеспечивать управлениеизменениями конфигурации информационной системы и системы защитыперсональных данных, анализ потенциального воздействия планируемыхизменений на обеспечение безопасности персональных данных, а такжедокументирование этих изменений.
![Page 25: Защита персональных данных](https://reader033.vdocuments.net/reader033/viewer/2022052509/55a224501a28ab97168b45d6/html5/thumbnails/25.jpg)
![Page 26: Защита персональных данных](https://reader033.vdocuments.net/reader033/viewer/2022052509/55a224501a28ab97168b45d6/html5/thumbnails/26.jpg)
Выбор мерОпределение базового набора мер по обеспечению безопасности ПДн дляустановленного УЗ в соответствии с базовыми наборами мер по обеспечениюбезопасности;
Адаптацию базового набора мер по обеспечению безопасности ПДн с учетомструктурно-функциональных характеристик ИС, информационных технологий,особенностей функционирования ИС (в том числе исключение из базового наборамер, непосредственно связанных с информационными технологиями, неиспользуемыми в ИС, или структурно-функциональными характеристиками, несвойственными ИС);
Уточнение адаптированного базового набора мер по обеспечению безопасности ПДнс учетом не выбранных ранее мер, в результате чего определяются меры пообеспечению безопасности ПДн, направленные на нейтрализацию всех актуальныхугроз безопасности ПДн для конкретной ИС;
Дополнение уточненного адаптированного базового набора мер по обеспечениюбезопасности ПДн мерами, обеспечивающими выполнение требований к защите ПДн,установленными иными нормативными правовыми актами в области обеспечениябезопасности ПДн и защиты информации.
![Page 27: Защита персональных данных](https://reader033.vdocuments.net/reader033/viewer/2022052509/55a224501a28ab97168b45d6/html5/thumbnails/27.jpg)
В случае угроз 1 и 2 типа
проверка системного и (или) прикладного программного
обеспечения, включая программный код, на отсутствие
недекларированных возможностей с использованием
автоматизированных средств и (или) без использования
таковых;
тестирование информационной системы на проникновения;
использование в информационной системе системного и
(или) прикладного программного обеспечения,
разработанного с использованием методов защищенного
программирования.
![Page 28: Защита персональных данных](https://reader033.vdocuments.net/reader033/viewer/2022052509/55a224501a28ab97168b45d6/html5/thumbnails/28.jpg)
СЗИ для 1 и 2 УЗ
средства вычислительной техники не ниже 5 класса; системы обнаружения вторжений и средства антивируснойзащиты не ниже 4 класса; межсетевые экраны не ниже 3 класса в случае актуальности угроз1-го или 2-го типов или взаимодействия информационной системы синформационно-телекоммуникационными сетями международногоинформационного обмена и межсетевые экраны не ниже 4 класса вслучае актуальности угроз 3-го типа и отсутствия взаимодействияинформационной системы с информационно-телекоммуникационными сетями международногоинформационного обмена;
![Page 29: Защита персональных данных](https://reader033.vdocuments.net/reader033/viewer/2022052509/55a224501a28ab97168b45d6/html5/thumbnails/29.jpg)
СЗИ для 3 УЗ средства вычислительной техники не ниже 5 класса; системы обнаружения вторжений и средства антивирусной защиты не
ниже 4 класса защиты в случае актуальности угроз 2-го типа иливзаимодействия информационной системы с информационно-телекоммуникационными сетями международного информационногообмена и системы обнаружения вторжений и средства антивируснойзащиты не ниже 5 класса защиты в случае актуальности угроз 3-го типа иотсутствия взаимодействия информационной системы с информационно-телекоммуникационными сетями международного информационногообмена;
межсетевые экраны не ниже 3 класса в случае актуальности угроз 2-го типаили взаимодействия информационной системы с информационно-телекоммуникационными сетями международного информационногообмена и межсетевые экраны не ниже 4 класса в случае актуальностиугроз 3-го типа и отсутствия взаимодействия информационной системы синформационно-телекоммуникационными сетями международногоинформационного обмена;
![Page 30: Защита персональных данных](https://reader033.vdocuments.net/reader033/viewer/2022052509/55a224501a28ab97168b45d6/html5/thumbnails/30.jpg)
СЗИ для 4 УЗ
средства вычислительной техники не ниже 6 класса;системы обнаружения вторжений и средства антивируснойзащиты не ниже 5 класса;
межсетевые экраны 5 класса.
Для обеспечения 1 и 2 уровней защищенности персональныхданных, а также для обеспечения 3 уровня защищенности персональныхданных в информационных системах, для которых к актуальным отнесеныугрозы 2-го типа, применяются средства защиты информации, программноеобеспечение которых прошло проверку не ниже чем по 4 уровню контроляотсутствия не декларированных возможностей.
![Page 31: Защита персональных данных](https://reader033.vdocuments.net/reader033/viewer/2022052509/55a224501a28ab97168b45d6/html5/thumbnails/31.jpg)
Приказ ФСБ России от 10 июля 2014 г. N 378 г.
"Об утверждении состава и содержания
организационных и технических мер по
обеспечению безопасности ПДн при их обработке
в ИСПДн с использованием средств
криптографической защиты информации,
необходимых для выполнения установленных
Правительством РФ требований к защите ПДн
для каждого из УЗ"
![Page 32: Защита персональных данных](https://reader033.vdocuments.net/reader033/viewer/2022052509/55a224501a28ab97168b45d6/html5/thumbnails/32.jpg)
а) оснащения Помещений входными дверьми с замками,
обеспечения постоянного закрытия дверей Помещений на
замок и их открытия только для санкционированного
прохода, а также опечатывания Помещений по окончании
рабочего дня или оборудование Помещений
соответствующими техническими устройствами,
сигнализирующими о несанкционированном вскрытии
Помещений;
б) утверждения правил доступа в Помещения в рабочее и
нерабочее время, а также в нештатных ситуациях;
в) утверждения перечня лиц, имеющих право доступа в
Помещения.
Требования для 4 УЗ
Доступ в помещения
![Page 33: Защита персональных данных](https://reader033.vdocuments.net/reader033/viewer/2022052509/55a224501a28ab97168b45d6/html5/thumbnails/33.jpg)
Сохранность носителей Пдна) осуществлять хранение съемных машинных носителей персональныхданных в сейфах (металлических шкафах), оборудованных внутреннимизамками с двумя или более дубликатами ключей и приспособлениями дляопечатывания замочных скважин или кодовыми замками. В случае если насъемном машинном носителе персональных данных хранятся толькоперсональные данные в зашифрованном с использованием СКЗИ виде,допускается хранение таких носителей вне сейфов (металлических шкафов);
б) осуществлять поэкземплярный учет машинных носителей персональныхданных, который достигается путем ведения журнала учета носителейперсональных данных с использованием регистрационных (заводских)номеров.
![Page 34: Защита персональных данных](https://reader033.vdocuments.net/reader033/viewer/2022052509/55a224501a28ab97168b45d6/html5/thumbnails/34.jpg)
Определение перечня допущенных лиц
а) разработать и утвердить документ, определяющий
перечень лиц, доступ которых к персональным данным,
обрабатываемым в информационной системе, необходим
для выполнения ими служебных (трудовых)
обязанностей;
б) поддерживать в актуальном состоянии документ,
определяющий перечень лиц, доступ которых к
персональным данным, обрабатываемым в
информационной системе, необходим для выполнения
ими служебных (трудовых) обязанностей.
![Page 35: Защита персональных данных](https://reader033.vdocuments.net/reader033/viewer/2022052509/55a224501a28ab97168b45d6/html5/thumbnails/35.jpg)
Использование СКЗИ(СЗИ)
а) получения исходных данных для формирования совокупности
предположений о возможностях, которые могут использоваться при
создании способов, подготовке и проведении атак;
б) формирования и утверждения руководителем оператора совокупности
предположений о возможностях, которые могут использоваться при
создании способов, подготовке и проведении атак, и определение на этой
основе и с учетом типа актуальных угроз требуемого класса СКЗИ;
в) использования для обеспечения требуемого уровня защищенности
персональных данных при их обработке в информационной системе
СКЗИ класса КС1 и выше.
![Page 36: Защита персональных данных](https://reader033.vdocuments.net/reader033/viewer/2022052509/55a224501a28ab97168b45d6/html5/thumbnails/36.jpg)
Требования для 3 УЗ
Те же что и для 3 УЗ
Назначение обладающего достаточными навыками должностного лица
(работника) оператора ответственным за обеспечение безопасности
персональных данных в информационной системе
СКЗИ класса КВ и выше в случаях, когда для информационной системы
актуальны угрозы 2 типа;
СКЗИ класса КС1 и выше в случаях, когда для информационной системы
актуальны угрозы 3 типа.
![Page 37: Защита персональных данных](https://reader033.vdocuments.net/reader033/viewer/2022052509/55a224501a28ab97168b45d6/html5/thumbnails/37.jpg)
Требования для 2 УЗ• Те же что и для 3 УЗ
• Доступ к электронному журналу:
а) утверждение руководителем оператора списка лиц, допущенных к
содержанию электронного журнала сообщений, и поддержание указанного
списка в актуальном состоянии;
б) обеспечение ИС автоматизированными средствами, регистрирующими
запросы пользователей ИС на получение ПДн, а также факты предоставления
ПДн по этим запросам в электронном журнале сообщений;
в) обеспечение ИС автоматизированными средствами, исключающими доступ к
содержанию электронного журнала сообщений лиц, не указанных в
утвержденном руководителем оператора списке лиц, допущенных к содержанию
электронного журнала сообщений;
г) обеспечение периодического контроля работоспособности
автоматизированных средств (не реже 1 раза в полгода).
СКЗИ класса КА в случаях, когда для информационной системы
актуальны угрозы 1 типа;
СКЗИ класса КВ и выше в случаях, когда для информационной системы
актуальны угрозы 2 типа;
СКЗИ класса КС1 и выше в случаях, когда для информационной системы
актуальны угрозы 3 типа.
![Page 38: Защита персональных данных](https://reader033.vdocuments.net/reader033/viewer/2022052509/55a224501a28ab97168b45d6/html5/thumbnails/38.jpg)
Требования для 1 УЗ• Те же что и для 2 УЗ
• автоматическая регистрация в электронном журнале безопасности
изменения полномочий сотрудника оператора по доступу к персональным
данным, содержащимся в информационной системе
• создание отдельного структурного подразделения, ответственного за
обеспечение безопасности персональных данных в информационной системе,
либо возложение его функций на одно из существующих структурных
подразделений
• оборудовать окна Помещений, расположенные на первых и (или)
последних этажах зданий, а также окна Помещений, находящиеся около
пожарных лестниц и других мест, откуда возможно проникновение в
Помещения посторонних лиц, металлическими решетками или ставнями,
охранной сигнализацией или другими средствами, препятствующими
неконтролируемому проникновению посторонних лиц в помещения
• оборудовать окна и двери Помещений, в которых размещены серверы
информационной системы, металлическими решетками, охранной
сигнализацией или другими средствами, препятствующими
неконтролируемому проникновению посторонних лиц в помещения.
![Page 39: Защита персональных данных](https://reader033.vdocuments.net/reader033/viewer/2022052509/55a224501a28ab97168b45d6/html5/thumbnails/39.jpg)
Стоит обратить внимание на
следующие документы по линии ФСБПриказ ФАПСИ от 13.06.2001 N 152 "Об утверждении Инструкции об
организации и обеспечении безопасности хранения, обработки и
передачи по каналам связи с использованием средств
криптографической защиты информации с ограниченным доступом,
не содержащей сведений, составляющих государственную тайну"
Приказ Федеральной службы безопасности Российской Федерации от 9
февраля 2005 г. N 66 г. Москва "Об утверждении Положения о
разработке, производстве, реализации и эксплуатации
шифровальных (криптографических) средств защиты информации
(Положение ПКЗ-2005)
Методические рекомендации по обеспечению с помощью криптосредств
безопасности персональных данных при их обработке в информационных
системах персональных данных с использованием средств автоматизации
Типовые требования по организации и обеспечению функционирования
шифровальных средств, предназначенных для обеспечения безопасности
персональных данных
![Page 40: Защита персональных данных](https://reader033.vdocuments.net/reader033/viewer/2022052509/55a224501a28ab97168b45d6/html5/thumbnails/40.jpg)
Построение модели угроз
Модель угроз ( безопасности информации ) : Физическое ,математическое , описательное представление свойств илихарактеристик угроз безопасности информации
«Базовая модель угроз безопасности персональнымданным при их обработке в информационных системахперсональных данных»
«Методика определения актуальных угроз безопасностиперсональных данных при их обработке в информационныхсистемах персональных данных»
![Page 41: Защита персональных данных](https://reader033.vdocuments.net/reader033/viewer/2022052509/55a224501a28ab97168b45d6/html5/thumbnails/41.jpg)
![Page 42: Защита персональных данных](https://reader033.vdocuments.net/reader033/viewer/2022052509/55a224501a28ab97168b45d6/html5/thumbnails/42.jpg)
![Page 43: Защита персональных данных](https://reader033.vdocuments.net/reader033/viewer/2022052509/55a224501a28ab97168b45d6/html5/thumbnails/43.jpg)
Построение модели угроз безопасности
ПД в ИСПДн1. Определяем уровни защищенности (УЗ) следующих характеристик ИСПДн:
1.1 По территориальному размещению:
· низкий УЗ - распределенная ИСПДн, охватывающая более 1-ого населенного
пункта;
· средний УЗ - корпоративная ИСПДн, охватывающая несколько зданий в одном
населенном пункте;
· высокий УЗ - локальная ИСПД, развернутая в пределах одного здания.
1.2 По соединению с сетями общего пользования и международным сетям
передачи данных
(«Интернет»):
· низкий УЗ - имеет многоточечный выход в сеть;
· средний УЗ - имеет одноточечный выход в сеть;
· высокий УЗ - физически отделенная ИСПДн от сетей общего пользования.
1.3 По операциям с персональными данными:
· низкий УЗ - в ИСПДн возможны модификация и передача данных;
· средний УЗ - в ИСПДн возможны запись, удаление и сортировка данных;
· высокий УЗ - в ИСПДн возможны только лишь чтение и поиск данных.
![Page 44: Защита персональных данных](https://reader033.vdocuments.net/reader033/viewer/2022052509/55a224501a28ab97168b45d6/html5/thumbnails/44.jpg)
1.4 По разграничению доступа пользователей ИСПДн:
· низкий УЗ - доступ в систему возможен для всех сотрудников организации;
·средний УЗ - доступ только для установленной группы сотрудников или
владельцев
ПД.
1.5 По взаимодействию системы с другими ИСПДн:
· низкий УЗ- часть интегрированной ИСПДн, владельцем которой не является
организация;
· высокий УЗ- ИСПДн принадлежит организации и не интегрирована с другими
ИСПДн.
1.6 По уровню обобщения ПД:
· низкий УЗ - в системе нет обезличивания ПД;
· средний УЗ - система обеспечивает обезличивание при передаче ПД в другие
организации;
· высокий УЗ - обезличенные ПД для всех пользователей системы.
1.7 По объему ПД, предоставляемых для сторонних организаций:
· низкий УЗ - предоставляется доступ ко всей базе ПД;
· средний УЗ- предоставляется только часть ПД;
·высокий УЗ- ПД не предоставляются для обработки в сторонних организациях.
![Page 45: Защита персональных данных](https://reader033.vdocuments.net/reader033/viewer/2022052509/55a224501a28ab97168b45d6/html5/thumbnails/45.jpg)
2. Определяем исходный уровень защищенности (Y1) ИСПДн в целом,
руководствуясь следующими правилами:
· Высокий уровень (Y1=0) - не менее 5-ти позиций п.1 оцениваются как
высокие;
· Средний уровень (Y1=5) - не менее 5-ти позиций п.1 оцениваются не
ниже среднего;
· Низкий уровень (Y1=10) - в остальных случаях.
3. Определяем актуальные угрозы безопасности ПД при их обработке в ИСПДн
в зависимости от категории ИСПДн, для чего:
3. 1 Экспертно оцениваем вероятность угрозы безопасности ПД по следующей
шкале:
· Y2=0 - маловероятно;
· Y2=2 - низкая вероятность;
· Y2=5 - средняя вероятность;
· Y2=10 - высокая вероятность.
![Page 46: Защита персональных данных](https://reader033.vdocuments.net/reader033/viewer/2022052509/55a224501a28ab97168b45d6/html5/thumbnails/46.jpg)
3.2 Для каждой угрозы безопасности ПД вычисляем «приведенную вероятность
Y» и «ранжированную вероятность Yr»
Y=(Y1+Y2)/20
· если 0<=Y<= 0.3, то Yr=1;
· если 0.3<Y<= 0.6, то Yr=2;
· если 0.6<Y<= 0.8, то Yr=5;
· и если Y>0.8, то Yr=10.
3.3 Опасность каждой угрозы безопасности ПД ( О ) оцениваем экспертно
следующим образом:
· O=1 - Низкая опасность угрозы для ПД (незначительные негативные
последствия);
· O=4 - Средняя опасность угрозы (негативные последствия);
· O=10 - Высокая опасность (значительные негативные последствия).
3.4 Актуальность угрозы безопасности ПД (А) вычисляется по следующей
формуле: A=Yr*O
Угроза безопасности ПД в ИСПДн актуальна (!) и требуется защита от
нее при А>4
![Page 47: Защита персональных данных](https://reader033.vdocuments.net/reader033/viewer/2022052509/55a224501a28ab97168b45d6/html5/thumbnails/47.jpg)
Определение актуальных угроз
![Page 48: Защита персональных данных](https://reader033.vdocuments.net/reader033/viewer/2022052509/55a224501a28ab97168b45d6/html5/thumbnails/48.jpg)
Алгоритм по ОБИ в ИСПДнШаг №1. Определить структурное подразделение (должностное лицо),
отвечающее за обеспечение безопасности персональных данных в
организации
Шаг №2. Аудит (инвентаризация) информационных ресурсов
организации
Шаг №3. Сформировать перечень персональных данных
Шаг №4. Документально ограничить круг лиц, допущенных к обработке
персональных данных
Шаг №5. Документально регламентировать работу с персональными
данными для лиц, допущенных к работе с персональными данными в
информационной системе
Шаг №6. Сформировать модель угроз персональным данным
Шаг №7. Определить уровень защищенности ИСПДн
![Page 49: Защита персональных данных](https://reader033.vdocuments.net/reader033/viewer/2022052509/55a224501a28ab97168b45d6/html5/thumbnails/49.jpg)
Алгоритм по ОБИ в ИСПДнШаг №8. Определить требования к системы защиты персональных
данных
Шаг №9. Разработать техническое задание на создание системы защиты
персональных данных
Шаг №10. Реализовать систему защиты информационной системы
персональных данных (ИСПДн) в соответствие с разработанным
техническим заданием и требованиями
Шаг №11. Составить и направить в уполномоченный орган уведомление
об обработке персональных данных
Шаг №12. Провести аттестацию или оценку соответствия
информационной системы персональных данных по требованиям
безопасности информации
Шаг №13. Организовать контроль безопасности обработки
персональных данных
![Page 50: Защита персональных данных](https://reader033.vdocuments.net/reader033/viewer/2022052509/55a224501a28ab97168b45d6/html5/thumbnails/50.jpg)
ПРИМЕРНЫЙ ПЕРЕЧЕНЬ
ДОКУМЕНТОВ, ПО ОБИ ПДн• Приказ об организации в организации работ по защите персональный данных
• Перечень обрабатываемых в организации персональных данных
• Обязательство о неразглашении персональных данных сотрудниками
• Описание технологического процесса (порядка) обработки персональных
данных в ИСПДн( Техническое задание на разработку ИСПДн)
• Акт классификации ИСПДн(УЗ)
• Модель нарушителя безопасности персональных данных при их обработке в
ИСПДн
• Модель угроз безопасности персональным данным при их обработке в ИСПДн
• Границы установленной контролируемой зоны (КЗ)
• Частное техническое задание на систему защиты информации ИСПДн
• Инструкция по учету и обращению с носителями персональных данных
• Инструкция ответственного за эксплуатацию ИСПДн
• Инструкция администратора безопасности ИСПДн
• Инструкция по работе пользователей в ИСПДн
• Инструкция о порядке технического обслуживания, ремонта, модернизации
технических средств, входящих в состав ИСПДн
![Page 51: Защита персональных данных](https://reader033.vdocuments.net/reader033/viewer/2022052509/55a224501a28ab97168b45d6/html5/thumbnails/51.jpg)
ПРИМЕРНЫЙ ПЕРЕЧЕНЬ
ДОКУМЕНТОВ, ПО ОБИ ПДн• Инструкция по использованию средств защиты информации, установленных в
ИСПДн
•Инструкция по использованию средств криптографической защиты
информации в ИСПДн
• Инструкция по использованию антивирусной защиты ИСПДн
• Инструкция по использованию парольной защиты ИСПДн
• Инструкция по настройке и эксплуатации межсетевого экрана
• Приказ о пользователях ИСПДн и установленных для них правах доступа к
персональным
данным (утвержденные матрицы доступа к ПД)
• Регламент проведения проверок по фактам несоблюдения условий хранения
носителей ПД, использования средств защиты информации, которые могут
привести к нарушению конфиденциальности персональных данных или другим
нарушениям, снижающим уровень защищенности ПД
• Уведомление в уполномоченный орган об обработке персональных данных
• Программа аттестационных испытаний ИСПДн или акт оценки соответствия
• Журнал учета носителей
![Page 52: Защита персональных данных](https://reader033.vdocuments.net/reader033/viewer/2022052509/55a224501a28ab97168b45d6/html5/thumbnails/52.jpg)
Ответственность
Статья 13.11. Нарушение установленного законом порядка сбора,
хранения, использования или распространения информации о
гражданах (персональных данных)
Нарушение установленного законом порядка сбора, хранения, использования
или распространения информации о гражданах (персональных данных) -
влечет предупреждение или наложение административного штрафа на
граждан в размере от трехсот до пятисот рублей; на должностных лиц - от
пятисот до одной тысячи рублей; на юридических лиц - от пяти тысяч до
десяти тысяч рублей.
![Page 53: Защита персональных данных](https://reader033.vdocuments.net/reader033/viewer/2022052509/55a224501a28ab97168b45d6/html5/thumbnails/53.jpg)
137 УК РФ
Незаконное собирание или распространение сведений о частной
жизни лица, составляющих его личную или семейную тайну, без его
согласия
300.000 руб. + исправительные работы на срок до 240 часов + арест
до 6-ти месяцев
![Page 54: Защита персональных данных](https://reader033.vdocuments.net/reader033/viewer/2022052509/55a224501a28ab97168b45d6/html5/thumbnails/54.jpg)
Ст. 90 ТК РФ
Нарушение норм, регулирующих
получение, обработку и защиту
персональных данных работника -
увольнение
![Page 55: Защита персональных данных](https://reader033.vdocuments.net/reader033/viewer/2022052509/55a224501a28ab97168b45d6/html5/thumbnails/55.jpg)
В качестве напоминания
СТАТЬЯ 13.12. НАРУШЕНИЕ ПРАВИЛ ЗАЩИТЫ
ИНФОРМАЦИИ1. Нарушение условий, предусмотренных лицензией на осуществление
деятельности в области защиты информации (за исключением информации,
составляющей государственную тайну), -влечет наложение административного
штрафа на граждан в размере от одной тысячи до одной тысячи пятисот рублей;
на должностных лиц - от одной тысячи пятисот до двух тысяч пятисот рублей; на
юридических лиц - от пятнадцати тысяч до двадцати тысяч рублей.
2. Использование несертифицированных информационных систем, баз и банков
данных, а также несертифицированных средств защиты информации, если они
подлежат обязательной сертификации (за исключением средств защиты
информации, составляющей государственную тайну), - влечет наложение
административного штрафа на граждан в размере от одной тысячи пятисот до
двух тысяч пятисот рублей с конфискацией несертифицированных средств
защиты информации или без таковой; на должностных лиц - от двух тысяч
пятисот до трех тысяч рублей; на юридических лиц - от двадцати тысяч до
двадцати пяти тысяч рублей с конфискацией несертифицированных средств
защиты информации или без таковой.
![Page 56: Защита персональных данных](https://reader033.vdocuments.net/reader033/viewer/2022052509/55a224501a28ab97168b45d6/html5/thumbnails/56.jpg)
СТАТЬЯ 13.12. НАРУШЕНИЕ ПРАВИЛ ЗАЩИТЫ
ИНФОРМАЦИИ
5. Грубое нарушение условий, предусмотренных лицензией на осуществление
деятельности в области защиты информации (за исключением информации,
составляющей государственную тайну), - влечет наложение административного
штрафа на лиц, осуществляющих предпринимательскую деятельность без
образования юридического лица, в размере от двух тысяч до трех тысяч рублей
или административное приостановление деятельности на срок до девяноста
суток; на должностных лиц - от двух тысяч до трех тысяч рублей; на
юридических лиц - от двадцати тысяч до двадцати пяти тысяч рублей или
административное приостановление деятельности на срок до девяноста суток.
6. Нарушение требований о защите информации (за исключением информации,
составляющей государственную тайну), установленных федеральными
законами и принятыми в соответствии с ними иными нормативными правовыми
актами Российской Федерации, за исключением случаев, предусмотренных
частями 1, 2 и 5 настоящей статьи, - влечет наложение административного
штрафа на граждан в размере от пятисот до одной тысячи рублей; на
должностных лиц - от одной тысячи до двух тысяч рублей; на юридических лиц -
от десяти тысяч до пятнадцати тысяч рублей.
![Page 57: Защита персональных данных](https://reader033.vdocuments.net/reader033/viewer/2022052509/55a224501a28ab97168b45d6/html5/thumbnails/57.jpg)
СТАТЬЯ 13.13. НЕЗАКОННАЯ ДЕЯТЕЛЬНОСТЬ В
ОБЛАСТИ ЗАЩИТЫ ИНФОРМАЦИИ
1. Занятие видами деятельности в области защиты информации (за
исключением информации, составляющей государственную тайну) без
получения в установленном порядке специального разрешения (лицензии), если
такое разрешение (такая лицензия) в соответствии с федеральным законом
обязательно (обязательна), - влечет наложение административного штрафа на
граждан в размере от пятисот до одной тысячи рублей с конфискацией средств
защиты информации или без таковой; на должностных лиц - от двух тысяч до
трех тысяч рублей с конфискацией средств защиты информации или без
таковой; на юридических лиц - от десяти тысяч до двадцати тысяч рублей с
конфискацией средств защиты информации или без таковой.
![Page 58: Защита персональных данных](https://reader033.vdocuments.net/reader033/viewer/2022052509/55a224501a28ab97168b45d6/html5/thumbnails/58.jpg)
Благодарю за внимание!