270 likes | 506 Views
Защита персональных данных. Обязанности оператора автоматизированной информационной системы по защите персональных данных. Федеральный закон от 27 июля 2006 г. № 152-ФЗ «О персональных данных».
E N D
Защита персональных данных Обязанности оператора автоматизированной информационной системы по защите персональных данных
Федеральный закон от 27 июля 2006 г. № 152-ФЗ «О персональных данных» • Ст. 3. Оператор – государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными. • Ст. 19. Оператор при обработке персональных данных обязан принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты персональных данных от неправомерного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий.
АУ УР «РЦИиОКО» является оператором ИСПДн • Государственные ИС: • Федеральная ИС «ЕГЭ и ГИА» • Региональная ИС «ЕГЭ» • Региональная ИС «ГИА-9» • Региональных нет • ИС с персональными данными: • Ведомственные ИС • АИС «Электронная школа» • АИС «Электронный колледж» • Внутренние ИС
Требования к защите • «Требования к защите персональных данных при их обработке в информационных системах персональных данных», утверждены постановлением Правительства Российской Федерации от 1 ноября 2012 г. № 1119
Состав мер по защите • «Состав и содержание организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных», утверждены приказом ФСТЭК России от 18 февраля 2013 г. № 21, зарегистрированы в Министерстве юстиции Российской Федерации, регистрационный № 28375 от 14 мая 2013
Необходимые меры • Организационное меры - это мероприятия, проведение которых не требует применения специально разработанных технических средств • Технические меры предусматривают применение специальных технических средств и реализацию технических решений
Мероприятия по обеспечению защиты информации, содержащейся в информационной системе: • формирование требований к защите информации, содержащейся в информационной системе • разработка системы защиты информации информационной системы • внедрение системы защиты информации информационной системы • обеспечение защиты информации в ходе эксплуатации информационной системы
Ответственный за обеспечение безопасности персональных данных В соответствии с «Требованиями к защите персональных данных…», утвержденными постановлением Правительства Российской Федерации № 1119: • для обеспечения 3-го и 2-го уровней защищенности персональных данных назначается должностное лицо, ответственное за обеспечение безопасности персональных данных в информационной системе
Формирование требований к системе защиты информации • принятие решения о необходимости защиты информации, содержащейся в информационной системе • определение уровней защищенности персональных данных в информационной системе, при обработке персональных данных в государственной информационной системе - определяется класс защищенности информационной системы • определение актуальных угроз безопасности информации и разработку на их основе модели угроз безопасности информации • определение требований к системе защиты информации информационной системы
Определение защищаемой информации • В целях определения защищаемой информации, то есть – персональных данных, подвергающихся автоматизированной обработке, технических средств, в которых она циркулирует, программных продуктов, с использованием которых осуществляется обработка, а также объектов и субъектов доступа и собственно технологии обработки персональных данных, рекомендуется провести обследование эксплуатируемых информационных систем или другими словами инвентаризацию
Объекты защиты в информационной системе • информация – персональные данные • технические средства • программное обеспечение: общесистемное, прикладное, специальное • средства защиты информации
Состав технического паспорта • В техническом паспорте рекомендуется отразить: • состав технических средств • расположение технических средств • установленные программные средства • установленные средства защиты
Состав описания технологического процесса обработки информации • описание объектов доступа - к каким защищаемым техническим средствам и информационным ресурсам будет осуществляться доступ • описание субъектов доступа - какие лица и (или) технические средства будут осуществлять доступ к объектам доступа • особенности технологического процесса обработки информации, а именно, каким образом и с каких носителей информация вводится в ИСПДн, каким образом и на какие носители информация выводится, осуществляется ли обмен информацией со сторонними организациями, если да, то каким образом, с использованием каких носителей, по каким каналам связи
Определение уровня защищенности • Уровни защищенности персональных данных устанавливается в соответствии с «Требованиями к защите персональных данных при их обработке в информационных системах персональных данных», утвержденных постановлением Правительства Российской Федерации от 1 ноября 2012 г. № 1119. • Устанавливаются 4 уровня защищенности. • самый низкий класс – четвертый,самый высокий - первый
Требования для 4 уровня защищенности • организация режима обеспечения безопасности помещений, в которых размещена информационная система, препятствующего возможности неконтролируемого проникновения или пребывания в этих помещениях лиц, не имеющих права доступа в эти помещения; • обеспечение сохранности носителей персональных данных; • утверждение руководителем оператора документа, определяющего перечень лиц, доступ которых к персональным данным, обрабатываемым в информационной системе, необходим для выполнения ими служебных (трудовых) обязанностей; • использование средств защиты информации, прошедших процедуру оценки соответствия требованиям законодательства Российской Федерации в области обеспечения безопасности информации, в случае, когда применение таких средств необходимо для нейтрализации актуальных угроз.
Требования для 3 уровня защищенности Для обеспечения 3 уровня защищенности персональных данных необходимо выполнение требований для 4 уровня и, кроме того: • необходимо, чтобы было назначено должностное лицо(работник), ответственный за обеспечение безопасности персональных данных в информационной системе.
Состав мер по обеспечению безопасности персональных данных: • идентификация и аутентификация субъектов доступа и объектов доступа • управление доступом субъектов доступа к объектам доступа • ограничение программной среды • регистрация событий безопасности • антивирусная защита • обнаружение вторжений • контроль (анализ) защищенности персональных данных • обеспечение целостности информационной системы и персональных данных • обеспечение доступности персональных данных • защита среды виртуализации • защита технических средств • защита информационной системы, ее средств, систем связи и передачи данных • выявление инцидентов безопасности информации и реагирование на них • управление конфигурацией информационной системы и системы защиты персональных данных
Внедрение системы защиты информации • установка и настройка средств защиты информации • разработка организационно-распорядительных документов • внедрение организационных мер • предварительные испытания • опытная эксплуатация • анализ уязвимостей • приемочные испытания
Организационно-распорядительные документы устанавливают правила и процедуры по: • идентификации и аутентификации субъектов доступа • управлению доступом • защите информации при использовании машинных носителей информации, в том числе порядок учета и хранения носителей • регистрации событий безопасности • обеспечению целостности информационной системы и информации • физической защите технических средств, в том числе порядок доступа в служебные помещения • управлению конфигурацией, в том числе порядок обновления ПО и контроля за несанкционированными подключениями технических средств и несанкционированной установкой ПО • периодическому анализу угроз безопасности информации • выявлению и реагированию на инциденты, связанные с обработкой и защитой информации • обслуживанию системы защиты • обучению и информированию пользователей
Контролю и анализу в первую очередь должны подвергаться: • администрирование ИСПДн • подключения внешних носителей к ИСПДн • перенос информации с внешних носителей в ИСПДн • перенос информации с ИСПДн на внешние носители • вывод информации на «твердую копию» • передача персональных данных по внешним каналам связи
Цели служебного расследования инцидентов, связанных с безопасностью информации: • установление, привели ли нарушения требований к нарушению безопасности персональных данных, например их утечке, нарушению целостности, утере, или нет • если да, установление, какие именно угрозы были реализованы • установление причин появления нарушения • выработка и реализация мер защиты
Оценка эффективности принятых мер • Оценка эффективности реализованных в рамках системы защиты персональных данных мер по обеспечению безопасности персональных данных проводится оператором самостоятельно или с привлечением на договорной основе юридических лиц и индивидуальных предпринимателей, имеющих лицензию на осуществление деятельности по технической защите конфиденциальной информации. • Указанная оценка проводится не реже одного раза в 3 года.
Наиболее важные мероприятия по защите информации в ходе эксплуатации системы защиты • контроль состояния защиты информации, включая контроль за событиями и действиями пользователей • обнаружение и регистрация инцидентов, выявление их причин, принятие мер по предупреждению и устранению инцидентов • анализ и оценка функционирования системы защиты с целью выявления и устранения недостатков и совершенствования • периодический анализ уязвимостей • анализ изменения угроз и выявление новых угроз • анализ влияния на систему защиты планируемых изменений в информационной системе
Рекомендации: • Обеспечение неизменности состава технических и программных средств, а также средств защиты и их настроек, соблюдение утвержденного технологического процесса обработки информации и принятие мер по нейтрализации актуальных угроз, определенных в модели угроз – основные задачи, решение которых обеспечивает высокую степень защищенности информации в информационной системе
Спасибо за внимание! Контакты: АУ УР «РЦИ и ОКО» Павлов Александр Владиславович Тел.: 33-43-73 Электронная почта: pavlov.av@obr18.ru