1 / 20

Подход к защите персональных данных после 15 марта 2010 г. Что изменилось?

Подход к защите персональных данных после 15 марта 2010 г. Что изменилось?. 20 10 г. Нормативно-правовая база. Нормативно-методические документы ФСТЭК России.

tristessa-leon
Download Presentation

Подход к защите персональных данных после 15 марта 2010 г. Что изменилось?

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Подход к защите персональных данных после 15 марта 2010 г.Что изменилось? 2010 г.

  2. Нормативно-правовая база Подход к защите ПДн после 15 марта 2010 года

  3. Нормативно-методические документы ФСТЭК России Приказ ФСТЭК России № 58 от 5 февраля 2010 г. "Об утверждении положения о методах и способах защиты информации в информационных системах персональных данных" Решение ФСТЭК Россииот 5 марта 2010 г. неприменять с 15 марта 2010 г. следующиеметодическиедокументы ФСТЭК России: • Основные мероприятия … • Рекомендации по обеспечению безопасности … Подход к защите ПДн после 15 марта 2010 года

  4. Нормативно-правовая база Подход к защите ПДн после 15 марта 2010 года

  5. Что изменилось? • Конкретизированы методы и способы защиты при взаимодействии ИС с информационно-телекоммуникационными сетями международного информационного обмена (сетями связи общего пользования) • Конкретизированы методы и способы защиты информации от НСД при организации удаленного доступа к ИС через сети связи общего пользования • Требования к антивирусной защите • Конкретизированы требования контроля отсутствия НДВ • Конкретизированы требования по защите от утечек по техническим каналам • Конкретизированы случаи применения средств (систем) анализа защищенности и обнаружения вторжений • Прозрачная преемственность требований по защите с повышением класса ИС ? Подход к защите ПДн после 15 марта 2010 года

  6. Приказ №58 ФСТЭК России от 5.02.10 «… 2.13. В зависимостиотособенностейобработкиперсональныхданных и структурыинформационныхсистеммогутразрабатываться и применятьсядругиеметодызащитыинформацииот НСД, обеспечивающиенейтрализациюугрозбезопасностиперсональныхданных …» "Об утверждении Положения о методах и способах защиты информации в информационных системах персональных данных" Подход к защите ПДн после 15 марта 2010 года

  7. Взаимодействие с сетями связи общего пользования Методы и способызащитыпривзаимодействии ИС с информационно-телекоммуникационнымисетямимеждународногоинформационногообмена (сетямисвязиобщегопользования) : • межсетевоеэкранирование • обнаружение вторжений в информационнуюсистему • анализ защищенности информационных систем • защита информации при ее передаче по каналам связи • использование смарт-карт, электронных замков и других носителей информации • использование средств антивирусной защиты • централизованное управление системой защиты персональных данных Подход к защите ПДн после 15 марта 2010 года

  8. Взаимодействие через сети связи общего пользования Методы и способызащитыинформацииот НСД дляобеспечениябезопасности ПДн примежсетевомвзаимодействииотдельныхинформационныхсистемчерезинформационно-телекоммуникационнуюсетьмеждународногоинформационногообмена (сетьсвязиобщегопользования): • созданиеканаласвязи, обеспечивающегозащитупередаваемойинформации • осуществлениеаутентификациивзаимодействующихинформационныхсистем и проверкаподлинностипользователей и целостностипередаваемыхданных Подход к защите ПДн после 15 марта 2010 года

  9. Взаимодействие ИС разных операторов Методы и способызащитыинформацииот НСД примежсетевомвзаимодействииотдельных ИС разныхоператоровчерезинформационно-телекоммуникационнуюсетьмеждународногоинформационногообмена (сетьсвязиобщегопользования): • созданиеканаласвязи, обеспечивающегозащитупередаваемойинформации • аутентификациявзаимодействующихинформационныхсистем и проверкаподлинностипользователей и целостностипередаваемыхданных • обеспечениепредотвращениявозможностиотрицанияпользователемфактаотправкиперсональныхданныхдругомупользователю • обеспечениепредотвращениявозможностиотрицанияпользователемфактаполученияперсональныхданныхотдругогопользователя Подход к защите ПДн после 15 марта 2010 года

  10. Взаимодействие ИС разных операторов Методы и способызащитыинформацииот НСД дляобеспечениябезопасности ПДн приподключении ИС к информационно-телекоммуникационнымсетяммеждународногоинформационногообмена (сетямсвязиобщегопользования) с цельюполученияобщедоступнойинформации: • фильтрациявходящих (исходящих) сетевыхпакетовпоправилам, заданнымоператором (уполномоченнымлицом) • периодическийанализбезопасностиустановленныхМЭ наосновеимитациивнешнихатакнаИС • активныйаудитбезопасностиИС напредметобнаружения в режимереальноговременинесанкционированнойсетевойактивности • анализпринимаемойпоинформационно-телекоммуникационнымсетяммеждународногоинформационногообмена (сетямсвязиобщегопользования) информации, в томчисленаналичиекомпьютерныхвирусов Подход к защите ПДн после 15 марта 2010 года

  11. Антивирусная защита Было: Более 20 пунктов, устанавливающихтребования к средствамантивируснойзащиты Стало: 2.3.В информационныхсистемах, имеющихподключение к информационно-телекоммуникационнымсетяммеждународногоинформационногообмена (сетямсвязиобщегопользования), илиприфункционированиикоторыхпредусмотреноиспользованиесъемныхносителейинформации, используютсясредстваантивируснойзащиты Подход к защите ПДн после 15 марта 2010 года

  12. Контроль отсутствия НДВ 2.12. Программноеобеспечениесредствзащитыинформации, применяемых в информационныхсистемах 1 класса, проходитконтрольотсутствиянедекларированныхвозможностей. Необходимостьпроведенияконтроляотсутствиянедекларированныхвозможностейпрограммногообеспечениясредствзащитыинформации, применяемых в информационныхсистемах 2 и 3 классов, определяетсяоператором (уполномоченнымлицом). Подход к защите ПДн после 15 марта 2010 года

  13. Защита от утечки по техническим каналам 3.2. Дляисключенияутечки ПДн засчет ПЭМИН в ИС 1 классамогутприменятьсяследующиеметоды и способызащитыинформации: • использованиетехническихсредств в защищенномисполнении • использованиесредствзащитыинформации, прошедших в установленномпорядкепроцедуруоценкисоответствия • размещениеобъектовзащиты в соответствии с предписаниемнаэксплуатацию • … 3.3. В ИС 2 классадляобработкиинформациииспользуются СВТ, удовлетворяющиетребованиямнациональныхстандартовпоэлектромагнитнойсовместимости, побезопасности и эргономическимтребованиям к средствамотображенияинформации, посанитарнымнормам, предъявляемым к видеодисплейнымтерминаламсредстввычислительнойтехники Подход к защите ПДн после 15 марта 2010 года

  14. Необходимость получения лицензии на ТЗКИ 128-ФЗ «О лицензированииотдельныхвидовдеятельности», ст. 4 К лицензируемымвидамдеятельностиотносятсявидыдеятельности, осуществлениекоторыхможетповлечьзасобойнанесениеущербаправам, законныминтересам, здоровьюграждан, обороне и безопасностигосударства, культурномунаследиюнародовРоссийскойФедерации и регулированиекоторыхнеможетосуществлятьсяинымиметодами, кромекаклицензированием Переченьсведенийконфиденциальногохарактера, п.1 Сведения о фактах, событиях и обстоятельствахчастнойжизнигражданина, позволяющиеидентифицироватьеголичность (персональныеданные), заисключениемсведений, подлежащихраспространению в средствахмассовойинформации в установленныхфедеральнымизаконамислучаях, относятся к сведениямконфиденциальногохарактера Подход к защите ПДн после 15 марта 2010 года

  15. Необходимость получения лицензии на ТЗКИ 152-ФЗ «О персональныхданных», ч.1, ст. 19 Операторприобработкеперсональныхданныхобязанприниматьнеобходимыеорганизационные и техническиемерыдлязащитыперсональныхданныхотнеправомерногоилислучайногодоступа к ним, уничтожения, изменения, блокирования, копирования, распространенияперсональныхданных, а такжеотиныхнеправомерныхдействий Положение о лицензированиидеятельностипотехническойзащитеконфиденциальнойинформации, п.2 Подтехническойзащитойконфиденциальнойинформациипонимаетсякомплексмероприятий и (или) услугпоеезащитеотнесанкционированногодоступа, в томчисле и потехническимканалам, а такжеотспециальныхвоздействийнатакуюинформацию в целяхееуничтожения, искаженияилиблокированиядоступа к ней Подход к защите ПДн после 15 марта 2010 года

  16. Необходимость получения лицензии на ТЗКИ 152-ФЗ «О персональныхданных», ст. 3 Оператор - государственныйорган, муниципальныйорган, юридическоеилифизическоелицо, организующие и (или) осуществляющиеобработкуперсональныхданных, а такжеопределяющиецели и содержаниеобработкиперсональныхданных 128-ФЗ «О лицензированииотдельныхвидовдеятельности», ст. 2 Лицензиат – юридическоелицоилииндивидуальныйпредприниматель, имеющиелицензиюнаосуществлениеконкретноговидадеятельности Подход к защите ПДн после 15 марта 2010 года

  17. Необходимость получения лицензии на ТЗКИ Вывод Деятельностьпотехническойзащитеконфиденциальнойинформации (комплексмероприятий и (или) услугпоеезащитеотнесанкционированногодоступа, в томчисле и потехническимканалам, а такжеотспециальныхвоздействийнатакуюинформацию в целяхееуничтожения, искаженияилиблокированиядоступа к ней) являетсялицензируемымвидомдеятельности В случаееслиюридическоелицоилииндивидуальныйпредприниматель, являютсяоператорамиперсональныхданных, тоониобязаныприниматьнеобходимыеорганизационные и техническиемерыдлязащитыперсональныхданных (осуществлятькомплексмероприятийпозащите) и соответственно, обязаныиметьлицензиюнадеятельностьпотехническойзащитеконфиденциальнойинформации Подход к защите ПДн после 15 марта 2010 года

  18. Оценка (подтверждение) соответствия 184-ФЗ "О техническомрегулировании" Статья 20. Формыподтверждениясоответствия 1. ПодтверждениесоответствиянатерриторииРоссийскойФедерацииможетноситьдобровольныйилиобязательныйхарактер. 2. Добровольноеподтверждениесоответствияосуществляется в формедобровольнойсертификации. 3. Обязательноеподтверждениесоответствияосуществляется в формах: • принятиядекларации о соответствиисоответствия • обязательнойсертификации Подход к защите ПДн после 15 марта 2010 года

  19. Оценка (подтверждение) соответствия Добровольноеподтверждениесоответствияможетосуществлятьсядляустановлениясоответствиянациональнымстандартам, стандартаморганизаций, сводамправил, системамдобровольнойсертификации, условиямдоговоров. Системыдобровольнойсертификацииотсутствуют. Обязательноеподтверждениесоответствияпроводитсятолько в случаях, установленныхсоответствующимтехническимрегламентом, и исключительнонасоответствиетребованиямтехническогорегламента. Техническиерегламентыотсутствуют. Системасертификациисредствзащитыинформациипотребованиямбезопасностиинформации № РОСС RU.0001.01БИ00Системааттестации ОИ являетсясоставнойчастьюединойсистемысертификации… Подход к защите ПДн после 15 марта 2010 года

  20. ЗАО "Рэйнвокс" www.reignvox.ru 125130, Москва, Старопетровский проезд, 7а Тел: +7 (495) 981-61-82 Факс: +7 (495) 981-61-83 info@reignvox.ru Подход к защите ПДн после 15 марта 2010 года

More Related