1 / 120

Защита персональных данных Реализация системы защиты персональных данных с учетом последних изменений в нормативно-право

Защита персональных данных Реализация системы защиты персональных данных с учетом последних изменений в нормативно-правовой базе. Обязанности оператора. ФЗ «О персональных данных» — Статья 19. Меры по обеспечению безопасности персональных данных при их обработке

temima
Download Presentation

Защита персональных данных Реализация системы защиты персональных данных с учетом последних изменений в нормативно-право

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Защита персональных данныхРеализация системы защиты персональных данных с учетом последних изменений в нормативно-правовой базе

  2. Обязанности оператора ФЗ «О персональных данных»—Статья 19. Меры по обеспечению безопасности персональных данных при их обработке Оператор при обработке персональных данных обязан принимать необходимые организационные и технические меры, в том числе использовать шифровальные (криптографические) средства, для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных, а также от иных неправомерных действий. Работы по обеспечению безопасности персональных данных при их обработке в информационных системах являются неотъемлемой частью работ по созданию информационных систем. ПОСТАНОВЛЕНИЕ от 17 ноября 2007 г. № 781 2

  3. Положение об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных • Обмен персональными данными при их обработке в информационных системах осуществляется по каналам связи, защита которых обеспечивается путем реализации соответствующих организационных мер и (или) путем применения технических средств. • Размещение информационных систем, специальное оборудование и охрана помещений, в которых ведется работа с персональными данными, организация режима обеспечения безопасности в этих помещениях должны обеспечивать сохранность носителей персональных данных и средств защиты информации, а также исключать возможность неконтролируемого проникновения или пребывания в этих помещениях посторонних лиц. • Возможные каналы утечки информации при обработке персональных данных в информационных системах определяются Федеральной службой по техническому и экспортному контролю и Федеральной службой безопасности Российской Федерации в пределах их полномочий. • Безопасность персональных данных при их обработке в информационной системе обеспечивает оператор или лицо, которому на основании договора оператор поручает обработку персональных данных (далее — уполномоченное лицо). Существенным условием договора является обязанность уполномоченного лица обеспечить конфиденциальность персональных данных и безопасность персональных данных при их обработке в информационной системе. 3

  4. С чего начать? • Для разработки и осуществления мероприятий по обеспечению безопасности персональных данных при их обработке в информационной системе оператором или уполномоченным лицом может назначаться структурное подразделение или должностное лицо (работник), ответственные за обеспечение безопасности персональных данных. • Положение об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных ПОСТАНОВЛЕНИЕ от 17 ноября 2007 г. N 781 4

  5. Меры по защиты ПДн • Мероприятия по защите ПДн должны сочетать реализациюправовых, организационных и технических мер защиты • Правовые • распределение полномочий между субъектами; • нормативно-правовой контроль использования ПДн; • установление ответственности за нарушения; • правовая регламентация порядка сбора, использования, предоставления и уничтожения ПДн. • Организационно-административные • формирование системы управления ПДн; • регламентация деятельности персонала по использованию ПДн; • регламентация порядка взаимодействия пользователей и администраторов ИС; • контроль над деятельностью персонала. • Технические • системы защиты от вредоносных программ и средства защиты от вторжений; • идентификация и аутентификация пользователей; • разграничение и контроль доступа к ПДн; • обеспечение целостности ПДн; • регистрация событий безопасности; • защита каналов передачи ПДн. Все мероприятия одинаково значимы, а невыполнение одних сводит на нет результаты реализации других. 5

  6. Порядок организации защиты персональных данных в ИСПДн • Назначить ответственного за проведение необходимых мероприятий • Изучить нормативную базу • При недостатке ресурсов для самостоятельной разработки — найти специализированную компанию • Провести обследование ИС с целью оценки текущего состояния ИБ и определения необходимых ИД для создания СЗПДн. • Провести классификацию ИСПДн (цели, состав, объем, наличие документов). • Разработать организационно-распорядительную документацию, включая модель угроз безопасности ПДн. • Обосновать требования по обеспечению безопасности ПДн и спроектировать систему защиты ПДн, включая выбор целесообразных способов (мер и средств) защиты ПДн. • Организовать и провести работы по созданию системы защиты персональных данных (СЗПДн), включая разработку документов по организации обеспечения безопасности ПДн и эксплуатации СЗПДн в ИСПДн. • Провести обучение ответственных лиц и сотрудников правилам работы с СЗИ (для получения лицензий ФСБ и ФСТЭК • Провести оценку соответствия ИСПДн требованиям. • Ввести в строй систему защиты и оформить результаты испытаний. • Организовать контроль соблюдения использования СЗИ и обеспечить управление обеспечением безопасности ПДн в динамике изменения обстановки и контроля эффективности защиты, включая учет применяемых СЗИ и носителей ПДн и учет лиц, допущенных к работе с ПДн. • Постановление Правительства РФ от 17.11.2007 № 781 6

  7. Классификация системы защиты персональных данных в ИСПДн • Информационные системы классифицируются государственными органами, муниципальными органами, юридическими или физическими лицами, организующими и (или) осуществляющими обработку персональных данных, а также определяющими цели и содержание обработки персональных данных (далее — оператор), в зависимости от объема обрабатываемых ими персональных данных и угроз безопасности жизненно важным интересам личности, общества и государства. • Порядок проведения классификации информационных систем устанавливается совместно Федеральной службой по техническому и экспортному контролю, Федеральной службой безопасности Российской Федерации и Министерством информационных технологий и связи Российской Федерации. • ПОСТАНОВЛЕНИЕ от 17 ноября 2007 г. № 781 7

  8. Порядок классификации системы защиты персональных данных в ИСПДн Класс системы (требования ФСТЭК + ФСБ) Требования к средствам защиты Выбор мер и средств защиты Планирование внедрения защитных мер по обеспечению безопасности ПД Лицензирование деятельности по защите ПД 8

  9. Порядок организации защиты персональных данных в ИСПДн • При недостатке ресурсов для самостоятельной разработки организационных мер — найти специализированную компанию • Выбранный исполнитель должен иметь необходимые лицензии на проведение работ. • Исполнитель должен обеспечить проведение: • мини-аудита ИС заказчика • предпроектного обследования • классификацию ИСПДн • обоснования требований и внедряемых технических решений • разработку всей необходимой эксплуатационной и организационно-распорядительной документации. • проведение специальных исследований закупаемых технических средств и оборудования (для ИСПДн К1) • внедрение проекта по защите ПДн в ИС заказчика • сопровождение ИС, включая периодическое проведение аудита ИСПДн и доработку документации при изменении состава технических средства и оборудования ИС, защищаемых помещений, либо иных внешних условий, способных повлиять на защищённость информации. • Итогом выполненных исполнителем работ должны быть положительные результаты и материалы опытной эксплуатации и итоговых испытаний. 9

  10. Порядок классификации системы защиты персональных данных в ИСПДн Системы информации организации Идентификация систем обработки персональных данных Определение характеристик ПДн Первичная классификация систем обработки ПДн Система обработки ПДн с использованием средств автоматизации Система обработки ПДн без использования средств автоматизации 10

  11. Порядок классификации системы защиты персональных данных в ИСПДн Система обработки ПДн с использованием средств автоматизации Определение типа системы обработки ПДн Типовая ИСПДн (ФСТЭК) Специальная ИСПДн (ФСТЭК) Автоматизированная информационная система (ФСБ) 11

  12. Классификация системы защиты персональных данных в ИСПДн • «Типовых» ИС практически нет, классы «специальных» не определены. • Любая «специальная» ИСПДн обладает признаками «типовой». • В соответствии с «Положением о методах и способах защиты информации…» выбор и реализация методов и способов защиты информации в информационной системе осуществляются на основе определяемых угроз безопасности и в зависимости от класса информационной системы: • Для любой «специальной» ИС выбираются соответствующие ее условиям функционирования «типовые» признаки. • Формируется номенклатура требований, в соответствии с выбранными «типовыми» признаками. • Для «специальной» ИС проводится анализ уязвимых звеньев, возможных угроз и формирование модели актуальных угроз. • Анализ необходимости (обоснование) и дополнение номенклатуры требований, на основании сведений из сформированной модели актуальных угроз. • Выбор способов, мер, механизмов защиты в соответствии с дополненной номенклатурой и обоснование их эффективности. 12

  13. Порядок классификации системы защиты персональных данных в ИСПДн Типовая ИСПДн (ФСТЭК) Требования ФСТЭК и ФСБ к ИСПДн Классификация ИСПДн Документальное оформление Специальные требования к системе защиты информации 13

  14. Порядок классификации системы защиты персональных данных в ИСПДн Специальная ИСПДн (ФСТЭК) Требования ФСТЭК и ФСБ к ИСПДн Классификация ИСПДн Определение актуальных угроз Документальное оформление Специальные требования к системе защиты информации 14

  15. Порядок классификации системы защиты персональных данных в ИСПДн Автоматизированная информационная система (ФСБ) Требования ФСБ к ИСПДн и АИС («К») Разработка модели нарушителя АИС Классификация АИС 15

  16. Порядок классификации системы защиты персональных данных в ИСПДн Система обработки ПДн без использования средств автоматизации Определение перечня «материальных носителей» для хранения ПДн Требования законодательства РФ, ФСТЭК и ФСБ (Постановление Правительства РФ № 687) Определение угроз «материальным носителям» и ПДн Выработка требований оператора по защите ПДн 16

  17. Классификация ИСПДн • Категория обрабатываемых в информационной системе персональных данных. • Объем обрабатываемых персональных данных. • Заданные оператором характеристики безопасности персональных данных. • Структура информационной системы. • Наличие подключений информационной системы к сетям связи общего пользования. • Режим обработки персональных данных. • Режим разграничения прав доступа пользователей информационной системы. • Местонахождение технических средств ИС. 17

  18. Построение моделей актуальных угроз и потенциального нарушителя Мероприятия по обеспечению безопасности персональных данных при их обработке в информационных системах включают в себя: а) определение угроз безопасности персональных данных при их обработке, формирование на их основе модели угроз; ПОСТАНОВЛЕНИЕ от 17 ноября 2007 г. № 781 Итог работы — документ «Модель угроз и нарушителей» 18

  19. Информационные системы, обрабатывающие персональные данные • Бухгалтерские программы • Программы кадрового учета • Справочные системы • CRM-системы с информацией о действующих и потенциальных клиентах • Системы биллинга • ERP-системы, обрабатывающие персональные данные • … 19

  20. Определение актуальных угроз Составление перечня информационных систем Анализ текущего состояния Формирование модели нарушителя Определение уязвимостей и возможных угроз Определение актуальности угроз Формирование частной модели угроз Разрабатываемые документы: Частная модель угроз безопасности ПДн, Проект распоряжения о классификации ИСПДн (для специальной ИСПДн) 20

  21. Анализ состояния Анализ информационных ресурсов Анализ уязвимых звеньев и возможных угроз безопасности ПДн Оценка ущерба от реализации угроз Анализ имеющихся мер и средств защиты ПДн 21

  22. Внедрение защитных мер в ИСПДн 12. Мероприятия по обеспечению безопасности персональных данных при их обработке в информационных системах включают в себя: г) установку и ввод в эксплуатацию средств защиты информации в соответствии с эксплуатационной и технической документацией; д) обучение лиц, использующих средства защиты информации, применяемые в информационных системах, правилам работы с ними; е) учет применяемых средств защиты информации, эксплуатационной и технической документации к ним, носителей персональных данных; ж) учет лиц, допущенных к работе с персональными данными в информационной системе; ПОСТАНОВЛЕНИЕ от 17 ноября 2007 г. № 781 Итог работы — документы «Приказы по компании», «Акты приемки работ»… 22

  23. Проектирование системы защиты 12. Мероприятия по обеспечению безопасности персональных данных при их обработке в информационных системах включают в себя: б) разработку на основе модели угроз системы защиты персональных данных, обеспечивающей нейтрализацию предполагаемых угроз с использованием методов и способов защиты персональных данных, предусмотренных для соответствующего класса информационных систем; к) описание системы защиты персональных данных. ПОСТАНОВЛЕНИЕ от 17 ноября 2007 г. № 781 Итог работы — документы «Техническое задание на СЗПДн», «Описание системы защиты ПДН» 23

  24. Внедрение защитных мер в ИСПДн Внедрение защитных мер Решение основных вопросов обеспечения защиты Программно-технические меры Управление доступом Организационные меры Управление и учет Разработка документов Обеспечение целостности Подготовка персонала Антивирусная и криптографическая системы Технические и программные средства, используемые для обработки ПДн в ИСПДн, должны удовлетворять установленным в соответствии с законодательством Российской Федерации требованиям, обеспечивающим защиту информации. Средства защиты информации, применяемые в ИСПДн, в установленном порядке проходят процедуру оценки соответствия, включая сертификацию на соответствие требованиям по безопасности информации. Защита от утечки по техническим каналам Защита от утечки по аудио- и видеоканалам Средства анализа защищенности Средства обнаружения вторжений 24

  25. Внедрение защитных мер в ИСПДн • Лица, доступ которых к персональным данным, обрабатываемым в информационной системе, необходим для выполнения служебных (трудовых) обязанностей, допускаются к соответствующим персональным данным на основании списка, утвержденного оператором или уполномоченным лицом. • Запросы пользователей информационной системы на получение персональных данных, а также факты предоставления персональных данных по этим запросам регистрируются автоматизированными средствами информационной системы в электронном журнале обращений. Содержание электронного журнала обращений периодически проверяется соответствующими должностными лицами (работниками) оператора или уполномоченного лица • Положение об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных 25

  26. Порядок формирования замысла защиты ПДн Определение основных направлений по защите ПДн Выбор способов защиты ПДн Решение основных вопросов управления защитой ПДн Решение основных вопросов обеспечения защиты ПДн Разрабатываемые документы: «Требования к СЗПДн», «Перечень мероприятий по созданию СЗПДн», «Требования к ОРД», «Перечень СрЗИ», «Концепция построения СЗПДн». 26

  27. Внедрение защитных мер в ИСПДн Итог работы — документы «Акт...», «Приказ о…» Мероприятия по обеспечению безопасности персональных данных при их обработке в информационных системах включают в себя: в) проверку готовности средств защиты информации к использованию с составлением заключений о возможности их эксплуатации; ПОСТАНОВЛЕНИЕ от 17 ноября 2007 г. № 781 27

  28. Мероприятия по техническому обеспечению безопасности ПДн Мероприятия по размещению, специальному оборудованию средств обработки ПДн. Охрана и организация режима допуска в помещение, где ведется работа с ПДн. Мероприятия по защите ПДн от НСД. Мероприятия по закрытию технических каналов утечки ПДн. 28

  29. Средства защиты информации, представленной в виде информативных электрических сигналов, физических полей: Гном-3, ГШ-1000, ГШ-1000К, ГШ-2500, Октава-РС1, Гром-ЗИ-4Б МП-2, МП-3, МП-5, ЛФС-10-1Ф… Средства защиты носителей информации на бумажной, магнитной, магнитоопрической и иной основе: eToken PRO 64K и eToken NG-OTP, Secret Disk 4… Средства защиты речевой информации: Барон, ЛГШ-402(403), SEL SP-21B1 Баррикада, Шорох-2, Соната-АВ, Шторм-105… Интернет Используемые в информационной системе информационные технологии 1. Защищенные ОС: Red Hat Enterprise Linux, QNX, МСВС 3.0... 2. Системы обнаружения вторжений и компьютерных атак: ФОРПОСТ, Proventia Network… 3. Шлюзы безопасности: CSP VPN Gate, CSP RVPN… Шифровальные (криптографические) средства защиты информации Защита от программно-технических воздействий на технические средства обработки персональных данных 1. Антивирусные средства: Dr.Web 2. Программное обеспечение, сертифицированное на отсутствие НДВ. Средства защиты информации от несанкционированного доступа: Блокхост-сеть, Аккорд-Рубеж, Аккорд-NT/2000, Secret Net 5.0, Соболь, Dallas Lock 7.0, Лабиринт-М, Страж NT Средства защиты информации Межсетевые экраны Cisco, Z-2, WatchGuard Firebox…

  30. Подсистемы, требуемые к созданию согласно 152ФЗ Организационно-технические меры и средства защиты Технические меры защиты Программные средства ОС • Резервное копирование • Изолирование участков оперативной памяти • Уничтожение остаточных данных • Контроль целостности данных и программ • Смена паролей • Ограничения на использование сетевых сервисов, служб, сетевых протоколов, сценариев Дополнительные программные средства • Средства блокирования исследования, модификации и несанкционированного запуска • Средства предупреждения пользователей о выполнении опасных действий • Программные средства администрирования (разграничения полномочий, регистрации и контроля) • Программные средства идентификации и аутентификации • Программные средства резервного копирования Средства защиты от ПМВ Другие средствазащиты Криптографи-ческие средства • Абонентского шифрования • Пакетного шифрования • Шифрования паролей • Стеганографии • ЭЦП • VPN-технологии • Средства контроля целостности • Средства обнаружения вредоносных программ • Средства тестирования • Утилиты для восстановления информации • Средства тестирования сетей и программ • Средства обнаружения атак • Межсетевые экраны 30

  31. Внедрение защитных мер в ИСПДн • Согласно п. 11 «Положения…» при обработке персональных данных в информационной системе должно быть обеспечено: • Проведение мероприятий, направленных на предотвращение НСД к ПДн. • Недопущение воздействий на технические средства автоматизированной обработки ПДн. • Своевременное обнаружение фактов НСД к ПДн. • Постоянный контроль уровня защищенности ПДн. • Возможность незамедлительного восстановления ПДн. 31

  32. Когда применять криптографию? • В системах, где АРМ или ЛВС объединены средствами связи, необходимость криптографической защиты возникает при передаче информации в среду, в которой она может оказаться доступной нарушителю (незащищенные от НСД средства хранения информации, каналы связи). • В системах, в которых в соответствии с моделью угроз возможно наличие инсайдера, а безопасность хранения и обработки не может быть гарантированно обеспечена другими средствами, решение о необходимости защиты ПДн с использованием криптографических средств принимается оператором. 32

  33. Порядок применения криптографических средств При разработке и реализации мероприятий по организации и обеспечению безопасности персональных данных с использованием криптосредств оператор должен осуществлять: • установку и ввод в эксплуатацию криптосредств в соответствии с эксплуатационной и технической документацией на эти средства; • проверку готовности криптосредств к использованию с составлением заключений о возможности их эксплуатации; • обучение лиц, использующих криптосредства, работе с ними; • поэкземплярный учет используемых криптосредств, эксплуатационной и технической документации к ним; • учет лиц, допущенных к работе с криптосредствами, предназначенными для обеспечения безопасности персональных данных в информационной системе (пользователей криптосредств); • контроль над соблюдением условий использования криптосредств, предусмотренных эксплуатационной и технической документацией к ним; • разбирательство и составление заключений по фактам нарушения условий хранения и использования криптосредств, которые могут привести к нарушению конфиденциальности персональных данных или другим нарушениям, приводящим к снижению уровня защищенности персональных данных; • разработку и принятие мер по предотвращению возможных опасных последствий подобных нарушений. 33

  34. п. 5 Постановления Правительства РФ №781 Средства защиты информации, применяемые в информационных системах, в установленном порядке проходят процедуру оценки соответствия. п. 2.1 «Положения о методах и способах защиты информации…» Методами и способами защиты информации от несанкционированного доступа являются: использование средств защиты информации, прошедших в установленном порядке процедуру оценки соответствия. п. 2.12 «Положения о методах и способах защиты информации…» Программное обеспечение СЗИ, применяемых в ИС 1 класса, проходит контроль отсутствия недекларированных возможностей. Необходимость контроля отсутствия НДВ программного обеспечения СЗИ, применяемых в ИС 2 и 3 классов, определяется оператором. п. 6 Постановления Правительства РФ №330 Оценка соответствия осуществляется в формах обязательной сертификации и государственного контроля (надзора). О сертификации средств защиты 34

  35. Оценка соответствия осуществляется в формах обязательной сертификации и государственного контроля (надзора) К принципам подтверждения соответствия относится "ограниченный доступ к информации и документам, касающимся установления обязательных требований, сертификационных испытаний продукции и подтверждения ее соответствия, а также методов и способов защиты информации конфиденциального характера", что подразумевает возможность использования ведомственных документов, описывающих принципы ограничения доступа – и сертификацию в соответствии с ними О постановлении: Не опубликовано и имеет статус ДСП Наименование: Положение об особенностях оценки соответствия продукции (работ, услуг), используемой в целях защиты сведений, отнесенных к охраняемой в соответствии с законодательством РФ информации ограниченного доступа, не содержащей сведения, составляющие гостайну… Область применения. Только государственные информационные ресурсы и персональные данные О сертификации средств защиты Постановление Правительства РФ №330 35

  36. 1.1. Классификация распространяется на ПО, предназначенное для защиты информации ограниченного доступа. 1.2. Устанавливается четыре уровня контроля отсутствия недекларированных возможностей. Каждый уровень характеризуется определенной минимальной совокупностью требований. … 1.5 Самый низкий уровень контроля - четвертый, достаточен для ПО, используемого при защите конфиденциальной информации. Классификация по уровню контроля отсутствия недекларированных возможностей 36

  37. О сертификации средств криптографической защиты • «Типовые требования … » ФСБ России • 2.1 …Обеспечение безопасности персональных данных с использованием криптосредств должно осуществляться в соответствии с: Приказом ФСБ России от 9 февраля 2005 г. № 66 «Об утверждении Положения о разработке, производстве, реализации и эксплуатации шифровальных (криптографических) средств защиты информации». (Положение ПКЗ-2005) • Положение о разработке, производстве, реализации и эксплуатации шифровальных (криптографических) средств защиты информации (Положение ПКЗ-2005) • 12. Для криптографической защиты информации конфиденциального характера должны использоваться СКЗИ, удовлетворяющие требованиям по безопасности информации, устанавливаемым в соответствии с законодательством Российской Федерации. • «Методические рекомендации … » ФСБ России • 3.1, п.7. Для обеспечения безопасности персональных данных при их обработке в информационных системах должны использоваться средства защиты, сертифицированные в системе сертификации ФСБ России… Оператор по согласованию с ФСТЭК России может принимать решение о применении СЗИ в ИСПДн без мероприятий по оценке отсутствия НДВ. http://www.fstec.ru/_doc/reestr_sszi/_reestr_sszi.xls 37

  38. Методические рекомендации • Встраивание криптосредств класса КС1 и КС2 осуществляется без контроля со стороны ФСБ России (если этот контроль не предусмотрен техническим заданием на разработку (модернизацию) информационной системы). • Встраивание криптосредств класса КС3, КВ1, КВ2 и КА1 осуществляется только под контролем со стороны ФСБ России. • Встраивание криптосредств класса КС1, КС2 или КС3 может осуществляться либо самим пользователем криптосредства при наличии соответствующей лицензии ФСБ России, либо организацией, имеющей соответствующую лицензию ФСБ России. • Встраивание криптосредства класса КВ1, КВ2 или КА1 осуществляется организацией, имеющей соответствующую лицензию ФСБ России. 38

  39. Получение необходимых лицензий Лицензия ФСТЭК на право деятельности по технической защите конфиденциальной информации (Порядок лицензирования деятельности по технической защите информации определяется постановлением Правительства РФ 2006 г. № 504) Лицензия ФСБ на право деятельности по техническому обслуживанию шифровальных (криптографических) средств Лицензия на ФСБправо деятельности по предоставлению услуг в области шифрования информации (в случае организации криптографической защиты с удаленными клиентами (абонентами) ИСПДн) Лицензия ФСБ на право деятельности по распространению шифровальных (криптографических) средств Лицензирование деятельности, связанной с шифровальными (криптографическими) средствами, осуществляется в соответствии с постановлением Правительства РФ 2007 г. № 957. 39

  40. Получение необходимых лицензий Статья 16, часть 6 ФЗ-149 «Об информации, информационных технологиях и о защите информации» от 27 июля 2006 г.: Федеральными законами могут быть установлены ограничения использования определенных средств защиты информации и осуществления отдельных видов деятельности в области защиты информации. Статья 17, часть 1, п.11 ФЗ-128 «О лицензировании отдельных видов деятельности» от 8 августа 2001 г.: В соответствии с настоящим Федеральным законом лицензированию подлежат следующие виды деятельности: деятельность по технической защите конфиденциальной информации. Постановление Правительства РФ № 504 «О лицензировании деятельности по технической защите конфиденциальной информации» от 15 августа 2006 г. Под технической защитой конфиденциальной информации понимается комплекс мероприятий и (или) услуг по ее защите от несанкционированного доступа, в том числе и по техническим каналам, а также от специальных воздействий на такую информацию в целях ее уничтожения, искажения или блокирования доступа к ней. 40

  41. Получение необходимых лицензий Операторы ИСПДн при проведении мероприятий по обеспечению безопасности ПДн (конфиденциальной информации) при их обработке в ИСПДн 1, 2 и распределенных системах 3 классов должны получить лицензию на осуществление деятельности по технической защите конфиденциальной информации в установленном порядке. 41

  42. Получение необходимых лицензий Порядок предоставления лицензии на осуществление деятельности по технической защите конфиденциальной информации определен «Положением о лицензировании деятельности по технической защите конфиденциальной информации» (утверждено постановлением Правительства РФ от 15 августа 2006 г. № 504). Требования для получения лицензии: а) наличие в штате соискателя лицензии (лицензиата) специалистов, имеющих высшее профессиональное образование в области технической защиты информации либо высшее или среднее профессиональное (техническое) образование и прошедших переподготовку или повышение квалификации по вопросам технической защиты информации; б) наличие у соискателя лицензии (лицензиата) помещений для осуществления лицензируемой деятельности, соответствующих техническим нормам и требованиям по технической защите информации, установленным нормативными правовыми актами Российской Федерации, и принадлежащих ему на праве собственности или на ином законном основании; в) наличие на любом законном основании производственного, испытательного и контрольно-измерительного оборудования, прошедшего в соответствии с законодательством Российской Федерации метрологическую поверку (калибровку), маркирование и сертификацию; г) использование автоматизированных систем, обрабатывающих конфиденциальную информацию, а также средств защиты такой информации, прошедших процедуру оценки соответствия (аттестованных и (или) сертифицированных по требованиям безопасности информации) в соответствии с законодательством Российской Федерации; д) использование предназначенных для осуществления лицензируемой деятельности программ для электронно-вычислительных машин и баз данных на основании договора с их правообладателем; е) наличие нормативных правовых актов, нормативно-методических и методических документов по вопросам технической защиты информации в соответствии с перечнем, установленным Федеральной службой по техническому и экспортному контролю. 42

  43. Получение необходимых лицензий • Порядок получения лицензии • Подготовка пакета документов. • Подготовка выделенного помещения и АРМ. • Выполнение аттестации помещения и АС. • Подготовка и направление уведомления во ФСТЭК. 43

  44. Мероприятия, требующие лицензии ФСТЭК России Проверка готовности средств защиты информации к использованию с составлением заключений о возможности их эксплуатации. Установка и ввод в эксплуатацию средств защиты информации в соответствии с эксплуатационной и технической документацией. 44

  45. Ввод в действие системы защиты ИСПДн Необходимые документы: «Программа и методика стендовых испытаний», «Протоколы и заключение по результатам стендовых испытаний»,«Основная эксплуатационная документация». • Установка (монтаж) необходимых технических и программных средств: • средств защиты от НСД; • средств специальной защиты от утечек за счёт ПЭМИН (для ИСПДн К1). • Проведение специальных исследований (для ИСПДн К1). • Инструментальная оценка эффективности технических средств защиты (ПЭМИН) (для ИСПДн К1). • Проведение опытной эксплуатации и итоговых испытаний. 45

  46. Контроль работы системы защиты Мероприятия по обеспечению безопасности персональных данных при их обработке в информационных системах включают в себя: з) контроль соблюдения условий использования средств защиты информации, предусмотренных эксплуатационной и технической документацией; и) разбирательство и составление заключений по фактам несоблюдения условий хранения носителей персональных данных, использования средств защиты информации, которые могут привести к нарушению конфиденциальности персональных данных или другим нарушениям, приводящим к снижению уровня защищенности персональных данных, разработку и принятие мер по предотвращению возможных опасных последствий подобных нарушений; ПОСТАНОВЛЕНИЕ от 17 ноября 2007 г. № 781 46

  47. Контроль работы системы защиты Согласно специальным требованиям и рекомендациям по технической защите конфиденциальной информации (СТР-К) контроль состояния (эффективности) защиты информации должен проводиться периодически (не реже одного раза в год), а также в случаях изменения условий и технологии обработки защищаемой информации. 47

  48. Контроль работы системы защиты Периодический контроль эффективности защиты информации предусматривает: • проверку состава и размещения основных технических средств и систем (ОТСС) на объектах информатизации в соответствии с техническим паспортом на данный объект информатизации; • проверку состава и размещения вспомогательных технических средств и систем (ВТСС) на объектах информатизации в соответствии с техническим паспортом на данный объект информатизации; • проверку наличия средств защиты информации на объекте информатизации и их работоспособности; • проверку уровня знаний и соблюдения требований нормативно-методических и руководящих документов ФСТЭК России; • проверку соблюдения инструкций, порядка ведения журналов учета; • оценку эффективности выполняемых мероприятий по защите информации на объекте информатизации. 48

  49. Анализ защищенности, обнаружение вторжений Внедрение защитных мер Аудит Мониторинг 49

  50. Результат работ по созданию системы защиты Итог работ: аттестат соответствия • Информационная система, оснащенная необходимыми средствами защиты и соответствующая требованиям законодательства. • Модель актуальных угроз и модель нарушителя, соответствующие условиям функционирования информационной системы. • Требуемая организационно-распорядительная и эксплуатационная документация. • Описание концепции создания системы защиты ПДн. 50

More Related