Post on 12-Jul-2015
Защита персональных
данных
Алексей Кураленко, преподаватель каф.РЗИ
Персональные данные - любая информация,относящаяся к прямо или косвенноопределенному или определяемомуфизическому лицу (субъекту персональныхданных)
Меры, направленные на
обеспечение выполнения ФЗ 1521) назначение ответственного за организацию обработки ПДн;
2) издание документов, определяющих политику оператора в
отношении обработки персональных данных, локальных актов по
вопросам обработки персональных данных, а также локальных актов,
устанавливающих процедуры, направленные на предотвращение и
выявление нарушений;
3) применение правовых, организационных и технических мер по
обеспечению безопасности ПДн;
4) осуществление внутреннего контроля и (или) аудита соответствия
обработки ПДн;
5) оценка вреда, который может быть причинен субъектам ПДн;
6) ознакомление работников оператора с требованиями к ПДн.
7) опубликование документа, определяющему политику в отношении
обработки ПДн
Меры по обеспечению
безопасности ПДн1) определение угроз безопасности ПДн при их обработке в ИСПДн;2) применением организационных и технических мер по обеспечениюбезопасности персональных данных при их обработке в ИСПДн3) применением прошедших в установленном порядке процедуру оценкисоответствия средств защиты информации;4) оценкой эффективности принимаемых мер по обеспечению безопасностиПДн до ввода в эксплуатацию ИСПДн;5) учет машинных носителей;6) обнаружение фактов несанкционированного доступа к ПДн и принятиеммер;7) восстановление ПДн, модифицированных или уничтоженных вследствиенесанкционированного доступа к ним;8) установление правил доступа к ПДн, обрабатываемым в ИСПДн, а такжеобеспечением регистрации и учета всех действий, совершаемых с ПДн вИСПДн;9) контролем за принимаемыми мерами по обеспечению безопасности ПДн.
Постановление Правительства
Российской Федерации от 15 сентября
2008 г. N 687 "Об утверждении
Положения об особенностях обработки
ПДн, осуществляемой без
использования средств автоматизации
Меры по обеспечению безопасности ПДн
при их обработке, осуществляемой без
использования средств автоматизации
1.Обработка ПДн, осуществляемая без использования средствавтоматизации, должна осуществляться таким образом, чтобы в отношениикаждой категории ПДн можно было определить места хранения ПДн(материальных носителей) и установить перечень лиц, осуществляющихобработку ПДн либо имеющих к ним доступ.
2. Необходимо обеспечивать раздельное хранение ПДн (материальныхносителей), обработка которых осуществляется в различных целях.
3. При хранении материальных носителей должны соблюдаться условия,обеспечивающие сохранность ПДн и исключающие несанкционированный кним доступ. Перечень мер, необходимых для обеспечения таких условий,порядок их принятия, а также перечень лиц, ответственных за реализациюуказанных мер, устанавливаются оператором.
Постановление Правительства РФ от
01.11.2012 г. №1119 "Об утверждении
требований к защите ПДн при их
обработке в ИСПДн
Категории ПДн
Информационная система является ИС , обрабатывающейспециальные категории ПДн, если в ней обрабатываются ПДн,касающиеся расовой, национальной принадлежности, политическихвзглядов, религиозных или философских убеждений, состоянияздоровья, интимной жизни субъектов.
Информационная система является ИС, обрабатывающейбиометрические ПДн, если в ней обрабатываются сведения, которыехарактеризуют физиологические и биологические особенностичеловека, на основании которых можно установить его личность икоторые используются оператором для установления личностисубъекта, и не обрабатываются сведения, относящиеся к специальнымкатегориям ПДн.
Категории ПДнИнформационная система является ИС, обрабатывающей
общедоступные ПДн, если в ней обрабатываются персональные данныесубъектов персональных данных, полученные только из общедоступныхисточников персональных данных
Информационная система является ИС , обрабатывающей иныекатегории ПДн, если в ней не обрабатываются персональные данные, неуказанные ранее.
Информационная система является ИС , обрабатывающейперсональные данные сотрудников оператора, если в нейобрабатываются персональные данные только указанных сотрудников.В остальных случаях ИСПДн является информационной системой,обрабатывающей персональные данные субъектов персональныхданных, не являющихся сотрудниками оператора.
Угрозы Под актуальными угрозами безопасности ПДн понимаетсясовокупность условий и факторов, создающих актуальную опасностьнесанкционированного, в том числе случайного, доступа к ПДн при ихобработке в ИС, результатом которого могут стать уничтожение,изменение, блокирование, копирование, предоставление,распространение персональных данных, а также иные неправомерныедействия.
Типы актуальных угроз
Угрозы 1-го типа актуальны для ИС , если для нее в том числеактуальны угрозы, связанные с наличием недокументированных(недекларированных) возможностей в системном программномобеспечении, используемом в ИС.
Угрозы 2-го типа актуальны для ИС, если для нее в том числеактуальны угрозы, связанные с наличием недокументированных(недекларированных) возможностей в прикладном программномобеспечении, используемом в ИС.
Угрозы 3-го типа актуальны для ИС, если для нее актуальны угрозы,не связанные с наличием недокументированных(недекларированных) возможностей в системном и прикладномпрограммном обеспечении, используемом в ИС.
Уровни защищенности
Категория ПДнУгрозы 1 типа
Угрозы 2 типа
Угрозы 3 типа
Спец.категории ПДн более чем 100 000 субъектов ПДн, не являющихся сотрудниками оператора 1 1 2
Спец.категории ПДн сотрудников оператора или специальные категории персональных данных менее чем 100 000 субъектов ПДн, не являющихся сотрудниками оператора
1 2 3
Биометрические ПДн 1 2 3
Иные категории ПДнболее чем 100 000 субъектов ПДн, не являющихся сотрудниками оператора 1 2 3
Иные категории ПДнданных сотрудников оператора или иные категории ПДн менее чем 100000 субъектов ПДн, не являющихся сотрудниками оператора
1 3 4
Общедоступные ПДнболее чем 100 000 субъектов ПДн, не являющихся сотрудниками оператора 2 2 4
Общедоступные ПДнсотрудников оператора или общедоступные ПДн менее чем 100 000 субъектов ПДн, не являющихся сотрудниками оператора
2 3 4
Перечень требований к 4 УЗа) организация режима обеспечения безопасности помещений, вкоторых размещена ИС, препятствующего возможностинеконтролируемого проникновения или пребывания в этихпомещениях лиц, не имеющих права доступа в эти помещения;
б) обеспечение сохранности носителей ПДн;
в) утверждение руководителем оператора документа, определяющегоперечень лиц, доступ которых к ПДн, обрабатываемым в ИС,необходим для выполнения ими служебных (трудовых) обязанностей;
г) использование средств защиты информации, прошедших процедуруоценки соответствия требованиям законодательства РоссийскойФедерации в области обеспечения безопасности информации, вслучае, когда применение таких средств необходимо длянейтрализации актуальных угроз.
Перечень требований к 3 УЗ
а) те же требования что и для 4 УЗ
б) необходимо, чтобы было назначено должностное лицо(работник), ответственный за обеспечение безопасностиперсональных данных в информационной системе.
Перечень требований к 2 УЗ
а) те же требования что и для 3 УЗ
б)необходимо, чтобы доступ к содержанию электронногожурнала сообщений был возможен исключительно длядолжностных лиц (работников) оператора илиуполномоченного лица, которым сведения, содержащиеся вуказанном журнале, необходимы для выполнения служебных(трудовых) обязанностей.
Перечень требований к 1 УЗ
а) те же требования что и для 2 УЗ
б) автоматическая регистрация в электронном журналебезопасности изменения полномочий сотрудника оператора подоступу к персональным данным, содержащимся винформационной системе
в) создание структурного подразделения, ответственного заобеспечение безопасности персональных данных винформационной системе, либо возложение на одно изструктурных подразделений функций по обеспечению такойбезопасности.
Приказ ФСТЭК России от 18 февраля
2013 г. N 21 «Об утверждении состава и
содержания организационных и
технических мер по обеспечению
безопасности ПДн при их обработке в
ИСПДн»
Состав мер идентификация и аутентификация субъектов доступа и объектов доступа; управление доступом субъектов доступа к объектам доступа; ограничение программной среды; защита машинных носителей информации, на которых хранятся и (или)
обрабатываются ПДн; регистрация событий безопасности; антивирусная защита; обнаружение (предотвращение) вторжений; контроль (анализ) защищенности ПДн; обеспечение целостности ИСПДн; обеспечение доступности ПДн; защита среды виртуализации; защита технических средств; защита ИС, ее средств, систем связи и передачи данных; выявление инцидентов (одного события или группы событий), которые могут
привести к сбоям или нарушению функционирования ИС и (или) квозникновению угроз безопасности ПДн, и реагирование на них;
управление конфигурацией ИС и системы защиты ПДн.
МерыМеры по идентификации и аутентификации субъектов доступа и объектов доступадолжны обеспечивать присвоение субъектам и объектам доступа уникальногопризнака (идентификатора), сравнение предъявляемого субъектом (объектом)доступа идентификатора с перечнем присвоенных идентификаторов, а такжепроверку принадлежности субъекту (объекту) доступа предъявленного имидентификатора (подтверждение подлинности).
Меры по управлению доступом субъектов доступа к объектам доступа должныобеспечивать управление правами и привилегиями субъектов доступа,разграничение доступа субъектов доступа к объектам доступа на основесовокупности установленных в информационной системе правил разграничениядоступа, а также обеспечивать контроль за соблюдением этих правил.
Меры по ограничению программной среды должны обеспечивать установку и(или) запуск только разрешенного к использованию в информационной системепрограммного обеспечения или исключать возможность установки и (или) запусказапрещенного к использованию в информационной системе программногообеспечения.
МерыМеры по защите машинных носителей персональных данных (средствобработки (хранения) персональных данных, съемных машинных носителейперсональных данных) должны исключать возможностьнесанкционированного доступа к машинным носителям и хранящимся на нихПДн, а также несанкционированное использование съемных машинныхносителей ПДн.
Меры по регистрации событий безопасности должны обеспечивать сбор,запись, хранение и защиту информации о событиях безопасности винформационной системе, а также возможность просмотра и анализаинформации о таких событиях и реагирование на них.
Меры по антивирусной защите должны обеспечивать обнаружение винформационной системе компьютерных программ либо иной компьютернойинформации, предназначенной для несанкционированного уничтожения,блокирования, модификации, копирования компьютерной информации илинейтрализации средств защиты информации, а также реагирование наобнаружение этих программ и информации.
МерыМеры по обнаружению (предотвращению) вторжений должны обеспечиватьобнаружение действий в информационной системе, направленных нанесанкционированный доступ к информации, специальные воздействия наинформационную систему и (или) персональные данные в целях добывания,уничтожения, искажения и блокирования доступа к ПДн, а также реагированиена эти действия.
Меры по контролю (анализу) защищенности ПДн должны обеспечиватьконтроль уровня защищенности персональных данных, обрабатываемых винформационной системе, путем проведения систематических мероприятийпо анализу защищенности информационной системы и тестированиюработоспособности системы защиты персональных данных.
Меры по обеспечению целостности информационной системы и персональныхданных должны обеспечивать обнаружение фактов несанкционированногонарушения целостности информационной системы и содержащихся в нейперсональных данных, а также возможность восстановления информационнойсистемы и содержащихся в ней ПДн.
Меры
Меры по обеспечению доступности ПДн должны обеспечиватьавторизованный доступ пользователей, имеющих права по доступу, к ПДн,содержащимся в ИС, в штатном режиме функционирования ИС.
Меры по защите среды виртуализации должны исключатьнесанкционированный доступ к ПДн, обрабатываемым в виртуальнойинфраструктуре, и к компонентам виртуальной инфраструктуры и (или)воздействие на них, в том числе к средствам управления виртуальнойинфраструктурой, монитору виртуальных машин (гипервизору), системехранения данных (включая систему хранения образов виртуальнойинфраструктуры), сети передачи данных через элементы виртуальной илифизической инфраструктуры, гостевым операционным системам, виртуальныммашинам (контейнерам), системе и сети репликации, терминальным ивиртуальным устройствам, а также системе резервного копирования исоздаваемым ею копиям.
МерыМеры по защите технических средств должны исключатьнесанкционированный доступ к стационарным техническим средствам,обрабатывающим персональные данные, средствам, обеспечивающимфункционирование информационной системы (далее - средства обеспеченияфункционирования), и в помещения, в которых они постоянно расположены,защиту технических средств от внешних воздействий, а также защитуперсональных данных, представленных в виде информативных электрическихсигналов и физических полей.
Меры по защите информационной системы, ее средств, систем связи ипередачи данных должны обеспечивать защиту персональных данных привзаимодействии информационной системы или ее отдельных сегментов сиными информационными системами и информационно-телекоммуникационными сетями посредством применения архитектурыинформационной системы и проектных решений, направленных наобеспечение безопасности персональных данных.
Меры
Меры по выявлению инцидентов и реагированию на них должныобеспечивать обнаружение, идентификацию, анализ инцидентов винформационной системе, а также принятие мер по устранению ипредупреждению инцидентов.
Меры по управлению конфигурацией информационной системы и системызащиты персональных данных должны обеспечивать управлениеизменениями конфигурации информационной системы и системы защитыперсональных данных, анализ потенциального воздействия планируемыхизменений на обеспечение безопасности персональных данных, а такжедокументирование этих изменений.
Выбор мерОпределение базового набора мер по обеспечению безопасности ПДн дляустановленного УЗ в соответствии с базовыми наборами мер по обеспечениюбезопасности;
Адаптацию базового набора мер по обеспечению безопасности ПДн с учетомструктурно-функциональных характеристик ИС, информационных технологий,особенностей функционирования ИС (в том числе исключение из базового наборамер, непосредственно связанных с информационными технологиями, неиспользуемыми в ИС, или структурно-функциональными характеристиками, несвойственными ИС);
Уточнение адаптированного базового набора мер по обеспечению безопасности ПДнс учетом не выбранных ранее мер, в результате чего определяются меры пообеспечению безопасности ПДн, направленные на нейтрализацию всех актуальныхугроз безопасности ПДн для конкретной ИС;
Дополнение уточненного адаптированного базового набора мер по обеспечениюбезопасности ПДн мерами, обеспечивающими выполнение требований к защите ПДн,установленными иными нормативными правовыми актами в области обеспечениябезопасности ПДн и защиты информации.
В случае угроз 1 и 2 типа
проверка системного и (или) прикладного программного
обеспечения, включая программный код, на отсутствие
недекларированных возможностей с использованием
автоматизированных средств и (или) без использования
таковых;
тестирование информационной системы на проникновения;
использование в информационной системе системного и
(или) прикладного программного обеспечения,
разработанного с использованием методов защищенного
программирования.
СЗИ для 1 и 2 УЗ
средства вычислительной техники не ниже 5 класса; системы обнаружения вторжений и средства антивируснойзащиты не ниже 4 класса; межсетевые экраны не ниже 3 класса в случае актуальности угроз1-го или 2-го типов или взаимодействия информационной системы синформационно-телекоммуникационными сетями международногоинформационного обмена и межсетевые экраны не ниже 4 класса вслучае актуальности угроз 3-го типа и отсутствия взаимодействияинформационной системы с информационно-телекоммуникационными сетями международногоинформационного обмена;
СЗИ для 3 УЗ средства вычислительной техники не ниже 5 класса; системы обнаружения вторжений и средства антивирусной защиты не
ниже 4 класса защиты в случае актуальности угроз 2-го типа иливзаимодействия информационной системы с информационно-телекоммуникационными сетями международного информационногообмена и системы обнаружения вторжений и средства антивируснойзащиты не ниже 5 класса защиты в случае актуальности угроз 3-го типа иотсутствия взаимодействия информационной системы с информационно-телекоммуникационными сетями международного информационногообмена;
межсетевые экраны не ниже 3 класса в случае актуальности угроз 2-го типаили взаимодействия информационной системы с информационно-телекоммуникационными сетями международного информационногообмена и межсетевые экраны не ниже 4 класса в случае актуальностиугроз 3-го типа и отсутствия взаимодействия информационной системы синформационно-телекоммуникационными сетями международногоинформационного обмена;
СЗИ для 4 УЗ
средства вычислительной техники не ниже 6 класса;системы обнаружения вторжений и средства антивируснойзащиты не ниже 5 класса;
межсетевые экраны 5 класса.
Для обеспечения 1 и 2 уровней защищенности персональныхданных, а также для обеспечения 3 уровня защищенности персональныхданных в информационных системах, для которых к актуальным отнесеныугрозы 2-го типа, применяются средства защиты информации, программноеобеспечение которых прошло проверку не ниже чем по 4 уровню контроляотсутствия не декларированных возможностей.
Приказ ФСБ России от 10 июля 2014 г. N 378 г.
"Об утверждении состава и содержания
организационных и технических мер по
обеспечению безопасности ПДн при их обработке
в ИСПДн с использованием средств
криптографической защиты информации,
необходимых для выполнения установленных
Правительством РФ требований к защите ПДн
для каждого из УЗ"
а) оснащения Помещений входными дверьми с замками,
обеспечения постоянного закрытия дверей Помещений на
замок и их открытия только для санкционированного
прохода, а также опечатывания Помещений по окончании
рабочего дня или оборудование Помещений
соответствующими техническими устройствами,
сигнализирующими о несанкционированном вскрытии
Помещений;
б) утверждения правил доступа в Помещения в рабочее и
нерабочее время, а также в нештатных ситуациях;
в) утверждения перечня лиц, имеющих право доступа в
Помещения.
Требования для 4 УЗ
Доступ в помещения
Сохранность носителей Пдна) осуществлять хранение съемных машинных носителей персональныхданных в сейфах (металлических шкафах), оборудованных внутреннимизамками с двумя или более дубликатами ключей и приспособлениями дляопечатывания замочных скважин или кодовыми замками. В случае если насъемном машинном носителе персональных данных хранятся толькоперсональные данные в зашифрованном с использованием СКЗИ виде,допускается хранение таких носителей вне сейфов (металлических шкафов);
б) осуществлять поэкземплярный учет машинных носителей персональныхданных, который достигается путем ведения журнала учета носителейперсональных данных с использованием регистрационных (заводских)номеров.
Определение перечня допущенных лиц
а) разработать и утвердить документ, определяющий
перечень лиц, доступ которых к персональным данным,
обрабатываемым в информационной системе, необходим
для выполнения ими служебных (трудовых)
обязанностей;
б) поддерживать в актуальном состоянии документ,
определяющий перечень лиц, доступ которых к
персональным данным, обрабатываемым в
информационной системе, необходим для выполнения
ими служебных (трудовых) обязанностей.
Использование СКЗИ(СЗИ)
а) получения исходных данных для формирования совокупности
предположений о возможностях, которые могут использоваться при
создании способов, подготовке и проведении атак;
б) формирования и утверждения руководителем оператора совокупности
предположений о возможностях, которые могут использоваться при
создании способов, подготовке и проведении атак, и определение на этой
основе и с учетом типа актуальных угроз требуемого класса СКЗИ;
в) использования для обеспечения требуемого уровня защищенности
персональных данных при их обработке в информационной системе
СКЗИ класса КС1 и выше.
Требования для 3 УЗ
Те же что и для 3 УЗ
Назначение обладающего достаточными навыками должностного лица
(работника) оператора ответственным за обеспечение безопасности
персональных данных в информационной системе
СКЗИ класса КВ и выше в случаях, когда для информационной системы
актуальны угрозы 2 типа;
СКЗИ класса КС1 и выше в случаях, когда для информационной системы
актуальны угрозы 3 типа.
Требования для 2 УЗ• Те же что и для 3 УЗ
• Доступ к электронному журналу:
а) утверждение руководителем оператора списка лиц, допущенных к
содержанию электронного журнала сообщений, и поддержание указанного
списка в актуальном состоянии;
б) обеспечение ИС автоматизированными средствами, регистрирующими
запросы пользователей ИС на получение ПДн, а также факты предоставления
ПДн по этим запросам в электронном журнале сообщений;
в) обеспечение ИС автоматизированными средствами, исключающими доступ к
содержанию электронного журнала сообщений лиц, не указанных в
утвержденном руководителем оператора списке лиц, допущенных к содержанию
электронного журнала сообщений;
г) обеспечение периодического контроля работоспособности
автоматизированных средств (не реже 1 раза в полгода).
СКЗИ класса КА в случаях, когда для информационной системы
актуальны угрозы 1 типа;
СКЗИ класса КВ и выше в случаях, когда для информационной системы
актуальны угрозы 2 типа;
СКЗИ класса КС1 и выше в случаях, когда для информационной системы
актуальны угрозы 3 типа.
Требования для 1 УЗ• Те же что и для 2 УЗ
• автоматическая регистрация в электронном журнале безопасности
изменения полномочий сотрудника оператора по доступу к персональным
данным, содержащимся в информационной системе
• создание отдельного структурного подразделения, ответственного за
обеспечение безопасности персональных данных в информационной системе,
либо возложение его функций на одно из существующих структурных
подразделений
• оборудовать окна Помещений, расположенные на первых и (или)
последних этажах зданий, а также окна Помещений, находящиеся около
пожарных лестниц и других мест, откуда возможно проникновение в
Помещения посторонних лиц, металлическими решетками или ставнями,
охранной сигнализацией или другими средствами, препятствующими
неконтролируемому проникновению посторонних лиц в помещения
• оборудовать окна и двери Помещений, в которых размещены серверы
информационной системы, металлическими решетками, охранной
сигнализацией или другими средствами, препятствующими
неконтролируемому проникновению посторонних лиц в помещения.
Стоит обратить внимание на
следующие документы по линии ФСБПриказ ФАПСИ от 13.06.2001 N 152 "Об утверждении Инструкции об
организации и обеспечении безопасности хранения, обработки и
передачи по каналам связи с использованием средств
криптографической защиты информации с ограниченным доступом,
не содержащей сведений, составляющих государственную тайну"
Приказ Федеральной службы безопасности Российской Федерации от 9
февраля 2005 г. N 66 г. Москва "Об утверждении Положения о
разработке, производстве, реализации и эксплуатации
шифровальных (криптографических) средств защиты информации
(Положение ПКЗ-2005)
Методические рекомендации по обеспечению с помощью криптосредств
безопасности персональных данных при их обработке в информационных
системах персональных данных с использованием средств автоматизации
Типовые требования по организации и обеспечению функционирования
шифровальных средств, предназначенных для обеспечения безопасности
персональных данных
Построение модели угроз
Модель угроз ( безопасности информации ) : Физическое ,математическое , описательное представление свойств илихарактеристик угроз безопасности информации
«Базовая модель угроз безопасности персональнымданным при их обработке в информационных системахперсональных данных»
«Методика определения актуальных угроз безопасностиперсональных данных при их обработке в информационныхсистемах персональных данных»
Построение модели угроз безопасности
ПД в ИСПДн1. Определяем уровни защищенности (УЗ) следующих характеристик ИСПДн:
1.1 По территориальному размещению:
· низкий УЗ - распределенная ИСПДн, охватывающая более 1-ого населенного
пункта;
· средний УЗ - корпоративная ИСПДн, охватывающая несколько зданий в одном
населенном пункте;
· высокий УЗ - локальная ИСПД, развернутая в пределах одного здания.
1.2 По соединению с сетями общего пользования и международным сетям
передачи данных
(«Интернет»):
· низкий УЗ - имеет многоточечный выход в сеть;
· средний УЗ - имеет одноточечный выход в сеть;
· высокий УЗ - физически отделенная ИСПДн от сетей общего пользования.
1.3 По операциям с персональными данными:
· низкий УЗ - в ИСПДн возможны модификация и передача данных;
· средний УЗ - в ИСПДн возможны запись, удаление и сортировка данных;
· высокий УЗ - в ИСПДн возможны только лишь чтение и поиск данных.
1.4 По разграничению доступа пользователей ИСПДн:
· низкий УЗ - доступ в систему возможен для всех сотрудников организации;
·средний УЗ - доступ только для установленной группы сотрудников или
владельцев
ПД.
1.5 По взаимодействию системы с другими ИСПДн:
· низкий УЗ- часть интегрированной ИСПДн, владельцем которой не является
организация;
· высокий УЗ- ИСПДн принадлежит организации и не интегрирована с другими
ИСПДн.
1.6 По уровню обобщения ПД:
· низкий УЗ - в системе нет обезличивания ПД;
· средний УЗ - система обеспечивает обезличивание при передаче ПД в другие
организации;
· высокий УЗ - обезличенные ПД для всех пользователей системы.
1.7 По объему ПД, предоставляемых для сторонних организаций:
· низкий УЗ - предоставляется доступ ко всей базе ПД;
· средний УЗ- предоставляется только часть ПД;
·высокий УЗ- ПД не предоставляются для обработки в сторонних организациях.
2. Определяем исходный уровень защищенности (Y1) ИСПДн в целом,
руководствуясь следующими правилами:
· Высокий уровень (Y1=0) - не менее 5-ти позиций п.1 оцениваются как
высокие;
· Средний уровень (Y1=5) - не менее 5-ти позиций п.1 оцениваются не
ниже среднего;
· Низкий уровень (Y1=10) - в остальных случаях.
3. Определяем актуальные угрозы безопасности ПД при их обработке в ИСПДн
в зависимости от категории ИСПДн, для чего:
3. 1 Экспертно оцениваем вероятность угрозы безопасности ПД по следующей
шкале:
· Y2=0 - маловероятно;
· Y2=2 - низкая вероятность;
· Y2=5 - средняя вероятность;
· Y2=10 - высокая вероятность.
3.2 Для каждой угрозы безопасности ПД вычисляем «приведенную вероятность
Y» и «ранжированную вероятность Yr»
Y=(Y1+Y2)/20
· если 0<=Y<= 0.3, то Yr=1;
· если 0.3<Y<= 0.6, то Yr=2;
· если 0.6<Y<= 0.8, то Yr=5;
· и если Y>0.8, то Yr=10.
3.3 Опасность каждой угрозы безопасности ПД ( О ) оцениваем экспертно
следующим образом:
· O=1 - Низкая опасность угрозы для ПД (незначительные негативные
последствия);
· O=4 - Средняя опасность угрозы (негативные последствия);
· O=10 - Высокая опасность (значительные негативные последствия).
3.4 Актуальность угрозы безопасности ПД (А) вычисляется по следующей
формуле: A=Yr*O
Угроза безопасности ПД в ИСПДн актуальна (!) и требуется защита от
нее при А>4
Определение актуальных угроз
Алгоритм по ОБИ в ИСПДнШаг №1. Определить структурное подразделение (должностное лицо),
отвечающее за обеспечение безопасности персональных данных в
организации
Шаг №2. Аудит (инвентаризация) информационных ресурсов
организации
Шаг №3. Сформировать перечень персональных данных
Шаг №4. Документально ограничить круг лиц, допущенных к обработке
персональных данных
Шаг №5. Документально регламентировать работу с персональными
данными для лиц, допущенных к работе с персональными данными в
информационной системе
Шаг №6. Сформировать модель угроз персональным данным
Шаг №7. Определить уровень защищенности ИСПДн
Алгоритм по ОБИ в ИСПДнШаг №8. Определить требования к системы защиты персональных
данных
Шаг №9. Разработать техническое задание на создание системы защиты
персональных данных
Шаг №10. Реализовать систему защиты информационной системы
персональных данных (ИСПДн) в соответствие с разработанным
техническим заданием и требованиями
Шаг №11. Составить и направить в уполномоченный орган уведомление
об обработке персональных данных
Шаг №12. Провести аттестацию или оценку соответствия
информационной системы персональных данных по требованиям
безопасности информации
Шаг №13. Организовать контроль безопасности обработки
персональных данных
ПРИМЕРНЫЙ ПЕРЕЧЕНЬ
ДОКУМЕНТОВ, ПО ОБИ ПДн• Приказ об организации в организации работ по защите персональный данных
• Перечень обрабатываемых в организации персональных данных
• Обязательство о неразглашении персональных данных сотрудниками
• Описание технологического процесса (порядка) обработки персональных
данных в ИСПДн( Техническое задание на разработку ИСПДн)
• Акт классификации ИСПДн(УЗ)
• Модель нарушителя безопасности персональных данных при их обработке в
ИСПДн
• Модель угроз безопасности персональным данным при их обработке в ИСПДн
• Границы установленной контролируемой зоны (КЗ)
• Частное техническое задание на систему защиты информации ИСПДн
• Инструкция по учету и обращению с носителями персональных данных
• Инструкция ответственного за эксплуатацию ИСПДн
• Инструкция администратора безопасности ИСПДн
• Инструкция по работе пользователей в ИСПДн
• Инструкция о порядке технического обслуживания, ремонта, модернизации
технических средств, входящих в состав ИСПДн
ПРИМЕРНЫЙ ПЕРЕЧЕНЬ
ДОКУМЕНТОВ, ПО ОБИ ПДн• Инструкция по использованию средств защиты информации, установленных в
ИСПДн
•Инструкция по использованию средств криптографической защиты
информации в ИСПДн
• Инструкция по использованию антивирусной защиты ИСПДн
• Инструкция по использованию парольной защиты ИСПДн
• Инструкция по настройке и эксплуатации межсетевого экрана
• Приказ о пользователях ИСПДн и установленных для них правах доступа к
персональным
данным (утвержденные матрицы доступа к ПД)
• Регламент проведения проверок по фактам несоблюдения условий хранения
носителей ПД, использования средств защиты информации, которые могут
привести к нарушению конфиденциальности персональных данных или другим
нарушениям, снижающим уровень защищенности ПД
• Уведомление в уполномоченный орган об обработке персональных данных
• Программа аттестационных испытаний ИСПДн или акт оценки соответствия
• Журнал учета носителей
Ответственность
Статья 13.11. Нарушение установленного законом порядка сбора,
хранения, использования или распространения информации о
гражданах (персональных данных)
Нарушение установленного законом порядка сбора, хранения, использования
или распространения информации о гражданах (персональных данных) -
влечет предупреждение или наложение административного штрафа на
граждан в размере от трехсот до пятисот рублей; на должностных лиц - от
пятисот до одной тысячи рублей; на юридических лиц - от пяти тысяч до
десяти тысяч рублей.
137 УК РФ
Незаконное собирание или распространение сведений о частной
жизни лица, составляющих его личную или семейную тайну, без его
согласия
300.000 руб. + исправительные работы на срок до 240 часов + арест
до 6-ти месяцев
Ст. 90 ТК РФ
Нарушение норм, регулирующих
получение, обработку и защиту
персональных данных работника -
увольнение
В качестве напоминания
СТАТЬЯ 13.12. НАРУШЕНИЕ ПРАВИЛ ЗАЩИТЫ
ИНФОРМАЦИИ1. Нарушение условий, предусмотренных лицензией на осуществление
деятельности в области защиты информации (за исключением информации,
составляющей государственную тайну), -влечет наложение административного
штрафа на граждан в размере от одной тысячи до одной тысячи пятисот рублей;
на должностных лиц - от одной тысячи пятисот до двух тысяч пятисот рублей; на
юридических лиц - от пятнадцати тысяч до двадцати тысяч рублей.
2. Использование несертифицированных информационных систем, баз и банков
данных, а также несертифицированных средств защиты информации, если они
подлежат обязательной сертификации (за исключением средств защиты
информации, составляющей государственную тайну), - влечет наложение
административного штрафа на граждан в размере от одной тысячи пятисот до
двух тысяч пятисот рублей с конфискацией несертифицированных средств
защиты информации или без таковой; на должностных лиц - от двух тысяч
пятисот до трех тысяч рублей; на юридических лиц - от двадцати тысяч до
двадцати пяти тысяч рублей с конфискацией несертифицированных средств
защиты информации или без таковой.
СТАТЬЯ 13.12. НАРУШЕНИЕ ПРАВИЛ ЗАЩИТЫ
ИНФОРМАЦИИ
5. Грубое нарушение условий, предусмотренных лицензией на осуществление
деятельности в области защиты информации (за исключением информации,
составляющей государственную тайну), - влечет наложение административного
штрафа на лиц, осуществляющих предпринимательскую деятельность без
образования юридического лица, в размере от двух тысяч до трех тысяч рублей
или административное приостановление деятельности на срок до девяноста
суток; на должностных лиц - от двух тысяч до трех тысяч рублей; на
юридических лиц - от двадцати тысяч до двадцати пяти тысяч рублей или
административное приостановление деятельности на срок до девяноста суток.
6. Нарушение требований о защите информации (за исключением информации,
составляющей государственную тайну), установленных федеральными
законами и принятыми в соответствии с ними иными нормативными правовыми
актами Российской Федерации, за исключением случаев, предусмотренных
частями 1, 2 и 5 настоящей статьи, - влечет наложение административного
штрафа на граждан в размере от пятисот до одной тысячи рублей; на
должностных лиц - от одной тысячи до двух тысяч рублей; на юридических лиц -
от десяти тысяч до пятнадцати тысяч рублей.
СТАТЬЯ 13.13. НЕЗАКОННАЯ ДЕЯТЕЛЬНОСТЬ В
ОБЛАСТИ ЗАЩИТЫ ИНФОРМАЦИИ
1. Занятие видами деятельности в области защиты информации (за
исключением информации, составляющей государственную тайну) без
получения в установленном порядке специального разрешения (лицензии), если
такое разрешение (такая лицензия) в соответствии с федеральным законом
обязательно (обязательна), - влечет наложение административного штрафа на
граждан в размере от пятисот до одной тысячи рублей с конфискацией средств
защиты информации или без таковой; на должностных лиц - от двух тысяч до
трех тысяч рублей с конфискацией средств защиты информации или без
таковой; на юридических лиц - от десяти тысяч до двадцати тысяч рублей с
конфискацией средств защиты информации или без таковой.
Благодарю за внимание!