Изменения в законодательстве по защите персональных...

Изменения в законодательстве по защите персональных данных: как выполнить новые требования

Директор по маркетингуАндрей Степаненко

Вебинар19 июня 2013 г.

Сожержание

Новые нормативные акты по защите ПДн

Обзор требований Приказа №21

Сравнительный анализ требований Приказов №17 и №21

Проблемные вопросы

Рекомендации по применению решений «Кода Безопасности» для выполнения новых требований

Регуляторы – реальный риск для бизнеса

Источник: The Ernst & Young Business Challenges 2011-2013 Report «Exploring the top 10 risks and opportunities»

О каких документах будем говорить

Федеральный закон от 27 июля 2006г. №152-ФЗ «О персональных данных» с правками, внесенными Федеральным законом от 25 июля 2011г. №261-ФЗ

Постановление Правительства РФ от 1 ноября 2012г. №1119

Приказ ФСТЭК России от 18.02.2013г. №21

Приказ ФСТЭК России от 11.02.2013г. №17

Постановление №1119«Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»

Отменило действие ПП от 17 ноября 2007 г. № 781

Определило подход к определению уровней защищенности ПДн, введенных Федеральным законом от 25 июля 2011г. N 261-ФЗ

Установило требования к защите персональных данных при их обработке в информационных системах персональных данных в зависимости от уровня защищенности

Определение типов ПДнСпециальные категории персональных данных – персональные данные, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни субъектов персональных данныхБиометрические персональные данные – сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность и которые используются оператором для установления личности субъекта персональных данныхОбщедоступные персональные данные – персональные данные субъектов персональных данных, полученные только из общедоступных источников персональных данных, созданных в соответствии со статьей 8 Федерального закона «О персональных данных»Иные категории персональных данных – персональные данные, не отнесенные в вышеперечисленным типам

Определение актуальных угрозСт. 6. Под актуальными угрозами безопасности ПДн понимается совокупность условий и факторов, создающих актуальную опасность несанкционированного, в том числе случайного, доступа к ПДн при их обработке в ИС, результатом которого могут стать уничтожение, изменение, блокирование, копирование, предоставление, распространение ПДн, а также иные неправомерные действия

Угрозы 1-го типа актуальны для ИС, если для нее в том числе актуальны угрозы, связанные с наличием недокументированных (недекларированных) возможностей в СПО, используемом в ИСУгрозы 2-го типа актуальны для ИС, если для нее в том числе актуальны угрозы, связанные с наличием недокументированных (недекларированных) возможностей в ППО, используемом в ИСУгрозы 3-го типа актуальны для ИС, если для нее актуальны угрозы, не связанные с наличием НДВ

Определение актуальных угрозСт. 7. Определение типа угроз безопасности персональных данных, актуальных для информационной системы, производится оператором с учетом оценки возможного вреда, проведенной во исполнение пункта 5 части 1 статьи 181 Федерального закона «О персональных данных», и в соответствии с нормативными правовыми актами, принятыми во исполнение части 5 статьи 19 Федерального закона «О персональных данных»

Новая классификация ИСПДн

Перечень требований к ИСПДн

Приказ ФСТЭК России №21

Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных

Регулирует деятельность всех операторов ПДн кроме государственных информационных систем Заменил Приказ ФСТЭК России №58 от 05.02.2010 Зарегистрирован Минюстом 14.05.2013 за №28375Вступил в действие 02.06.2013

Основные положения Приказа №21

Общие требования к обеспечению безопасности персональных данных

нейтрализация актуальных угроз применение СЗИ, прошедших в установленном порядке процедуру оценки соответствия

Требования к исполнителям работ по защитеНаличие лицензии на деятельность по ТЗКИ

Требования к проведению оценки эффективности мерне реже одного раза в 3 года

Состав и содержание мер по обеспечению безопасности персональных данныхТребования по применению СВТ и СЗИ определенных классов в ИСПДн разных уровней защищенности

Требования к СВТ и СЗИ

№п/п

СЗИ сертифицированные по требованиям безопасности

Уровни защищённости ПДнIV III II и I

+INET +INET

1 Классы средств вычислительной техники (СВТ)

6 5 5 5 5

2 Классы систем обнаружения вторжений (СОВ)

5 5 (актуальны угрозы 3-го

типа)

4 (или

актуальны угрозы 2-го типа)

4 4

3 Классы средств антивирусной защиты (САВ)

5 4 4

4 Классы межсетевых экранов (МЭ)

5 4 (актуальны угрозы 3-го

типа)

3 (или

актуальны угрозы 2-го типа)

4 (актуальны угрозы 3-го

типа)

3(или

актуальны угрозы 1-го, 2-го типов)

5 Уровни контроля отсутствия недекларированных возможностей (НДВ)

- 4 (актуальны угрозы 2-го

типа)

4 4

Меры по противодействию НДВ

проверка системного и (или) прикладного программного обеспечения, включая программный код, на отсутствие недекларированных возможностей с использованием автоматизированных средств и (или) без использования таковыхтестирование информационной системы на проникновенияиспользование в информационной системе системного и (или) прикладного программного обеспечения, разработанного с использованием методов защищенного программирования

Состав и содержание мер (1/2)

идентификация и аутентификация субъектов доступа и объектов доступа управление доступом субъектов доступа к объектам доступа ограничение программной среды защита машинных носителей информациирегистрация событий безопасности антивирусная защита обнаружение (предотвращение) вторжений контроль (анализ) защищенности

Состав и содержание мер (2/2)

обеспечение целостности информационной системыобеспечение доступностизащита среды виртуализации защита технических средств защита информационной системы, ее средств, систем связи и передачи данных выявление инцидентов и реагирование на них управление конфигурацией информационной системы и системы защиты

Всего 15 групп, включающих 109 защитных мер

Типы мер защиты

Базовые меры (определяются для каждого уровня защищенности)

Дополнительные меры (не отнесенные к базовым)УЗ4 УЗ3 УЗ2 УЗ1

27

41

66 69

Определение состава мер защиты

БАЗОВЫЕ МЕРЫ

АДАПТАЦИЯ БАЗОВОГО НАБОРА

УТОЧНЕНИЕ АДАПТИРОВАННОГО НАБОРА

ДОПОЛНИТЕЛЬНОЕ УТОЧНЕНИЕ АДАПТИРОВАННОГО НАБОРА

КОМПЕНСИРУЮЩИЕ МЕРЫ

Компенсирующие меры

При невозможности технической реализации отдельных выбранных мер по обеспечению безопасности ПДн, а также с учетом экономической целесообразности на этапах адаптации базового набора мер и (или) уточнения адаптированного базового набора мер могут разрабатываться иные (компенсирующие) меры, направленные на нейтрализацию актуальных угроз безопасности ПДн (с обоснованием)При использовании в информационных системах новых информационных технологий и выявлении дополнительных угроз безопасности ПДн, для которых не определены меры обеспечения их безопасности, должны разрабатываться компенсирующие меры

Подробнее об мерах защиты

I. Идентификация и аутентификация субъектов доступа и объектов доступа (ИАФ)

ИАФ.1 Идентификация и аутентификация пользователей, являющихся работниками оператора + + + +

ИАФ.2 Идентификация и аутентификация устройств, в том числе стационарных, мобильных и портативных + +

ИАФ.З Управление идентификаторами, в том числе создание, присвоение, уничтожение идентификаторов + + + +

ИАФ.4Управление средствами аутентификации, в том числе хранение, выдача, инициализация, блокирование средств аутентификации и принятие мер в случае утраты и (или) компрометации средств аутентификации

+ + + +

ИАФ.5 Защита обратной связи при вводе аутентификационной информации + + + +

ИАФ.6 Идентификация и аутентификация пользователей, не являющихся работниками оператора (внешних пользователей) + + + +

КОД Содержание мер по обеспечению безопасности персональных данных УЗ4 УЗ3 УЗ2 УЗ1

II. Управление доступом субъектов доступа к объектам доступа (УПД)

УПД.1Управление (заведение, активация, блокирование и уничтожение) учетными записями пользователей, в том числе внешних пользователей

+ + + +

УПД.2Реализация необходимых методов (дискреционный, мандатный, ролевой или иной метод), типов (чтение, запись, выполнение или иной тип) и правил разграничения доступа

+ + + +

УПД.З

Управление (фильтрация, маршрутизация, контроль соединений, однонаправленная передача и иные способы управления) информационными потоками между устройствами, сегментами информационной системы, а также между информационными системами

+ + + +

УПД.4Разделение полномочий (ролей) пользователей, администраторов и лиц, обеспечивающих функционирование информационной системы

+ + + +

УПД.5Назначение минимально необходимых прав и привилегий пользователям, администраторам и лицам, обеспечивающим функционирование информационной системы

+ + + +

УПД.6 Ограничение неуспешных попыток входа в информационную систему (доступа к информационной системе) + + + +

УПД.7

Предупреждение пользователя при его входе в информационную систему о том, что в информационной системе реализованы меры по обеспечению безопасности персональных данных, и о необходимости соблюдения установленных оператором правил обработки персональных данных


II. Управление доступом субъектов доступа к объектам доступа (УПД)

УПД.8Оповещение пользователя после успешного входа в информационную систему о его предыдущем входе в информационную систему

УПД.9 Ограничение числа параллельных сеансов доступа для каждой учетной записи пользователя информационной системы

УПД.10Блокирование сеанса доступа в информационную систему после установленного времени бездействия (неактивности) пользователя или по его запросу

+ + +

УПД.11 Разрешение (запрет) действий пользователей, разрешенных до идентификации и аутентификации + + +

УПД.12Поддержка и сохранение атрибутов безопасности (меток безопасности), связанных с информацией в процессе ее хранения и обработки

УПД.13Реализация защищенного удаленного доступа субъектов доступа к объектам доступа через внешние информационно-телекоммуникационные сети

+ + + +

УПД.14 Регламентация и контроль использования в информационной системе технологий беспроводного доступа + + + +

УПД.15 Регламентация и контроль использования в информационной системе мобильных технических средств + + + +

УПД.16 Управление взаимодействием с информационными системами сторонних организаций (внешние информационные системы) + + + +

УПД.17 Обеспечение доверенной загрузки средств вычислительной техники + +


III. Ограничение программной среды (ОПС)

ОПС.1Управление запуском (обращениями) компонентов программного обеспечения, в том числе определение запускаемых компонентов, настройка параметров запуска компонентов, контроль за запуском компонентов программного обеспечения

ОПС.2

Управление установкой (инсталляцией) компонентов программного обеспечения, в том числе определение компонентов, подлежащих установке, настройка параметров установки компонентов, контроль за установкой компонентов программного обеспечения

+ +

ОПС.З Установка (инсталляция) только разрешенного к использованию программного обеспечения и (или) его компонентов +

ОПС.4Управление временными файлами, в том числе запрет, разрешение, перенаправление записи, удаление временных файлов


IV. Защита машинных носителей персональных данных (ЗНИ)

ЗНИ.1 Учет машинных носителей персональных данных + +

ЗНИ.2 Управление доступом к машинным носителям персональных данных + +

ЗНИ.З Контроль перемещения машинных носителей персональных данных за пределы контролируемой зоны

ЗНИ.4Исключение возможности несанкционированного ознакомления с содержанием персональных данных, хранящихся на машинных носителях, и (или) использования носителей персональных данных в иных информационных системах

ЗНИ.5 Контроль использования интерфейсов ввода (вывода) информации на машинные носители персональных данных

ЗНИ.6 Контроль ввода (вывода) информации на машинные носители персональных данных

ЗНИ.7 Контроль подключения машинных носителей персональных данных

ЗНИ.8Уничтожение (стирание) или обезличивание персональных данных на машинных носителях при их передаче между пользователями, в сторонние организации для ремонта или утилизации, а также контроль уничтожения (стирания) или обезличивания

+ + +


V. Регистрация событий безопасности (РСБ)

РСБ.1 Определение событий безопасности, подлежащих регистрации, и сроков их хранения + + + +

РСБ.2 Определение состава и содержания информации о событиях безопасности, подлежащих регистрации + + + +

РСБ.З Сбор, запись и хранение информации о событиях безопасности в течение установленного времени хранения + + + +

РСБ.4Реагирование на сбои при регистрации событий безопасности, в том числе аппаратные и программные ошибки, сбои в механизмах сбора информации и достижение предела или переполнения объема (емкости) памяти

РСБ.5 Мониторинг (просмотр, анализ) результатов регистрации событий безопасности и реагирование на них + +

РСБ.6 Генерирование временных меток и (или) синхронизация системного времени в информационной системе

РСБ.7 Защита информации о событиях безопасности + + + +


VI. Антивирусная защита (АВЗ)

АВ3.1 Реализация антивирусной защиты + + + +

АВ3.2 Обновление базы данных признаков вредоносных компьютерных программ (вирусов) + + + +

VII. Обнаружение вторжений (СОВ)

COB.1 Обнаружение вторжений + +COB.2 Обновление базы решающих правил + +



VIII. Контроль (анализ) защищенности персональных данных (АНЗ)

АНЗ.1 Выявление, анализ уязвимостей информационной системы и оперативное устранение вновь выявленных уязвимостей + + +

АНЗ.2Контроль установки обновлений программного обеспечения, включая обновление программного обеспечения средств защиты информации

+ + + +

АНЗ.3Контроль работоспособности, параметров настройки и правильности функционирования программного обеспечения и средств защиты информации

+ + +

АНЗ.4 Контроль состава технических средств, программного обеспечения и средств защиты информации + + +

АНЗ.5Контроль правил генерации и смены паролей пользователей, заведения и удаления учетных записей пользователей, реализации правил разграничения доступа, полномочий пользователей в информационной системе

+ +


Управление доступом

Управление изменениями

Мониторинг и управление

инцидентами

Обучение пользователей

IХ.Обеспечение целостности информационной системы и персональных данных (ОЦЛ)

ОЦЛ.1 Контроль целостности программного обеспечения, включая программное обеспечение средств защиты информации + +

ОЦЛ.2 Контроль целостности персональных данных, содержащихся в базах данных информационной системы

ОЦЛ.3Обеспечение возможности восстановления программного обеспечения, включая программное обеспечение средств защиты информации, при возникновении нештатных ситуаций

ОЦЛ.4Обнаружение и реагирование на поступление в информационную систему незапрашиваемых электронных сообщений (писем, документов) и иной информации, не относящихся к функционированию информационной системы (защита от спама)

+ +

ОЦЛ. 5

Контроль содержания информации, передаваемой из информационной системы (контейнерный, основанный на свойствах объекта доступа, и (или) контентный, основанный на поиске запрещенной к передаче информации с использованием сигнатур, масок и иных методов),методов), и исключение неправомерной передачи информации из информационной системы

ОЦЛ.6 Ограничение прав пользователей по вводу информации в информационную систему

ОЦЛ.7 Контроль точности, полноты и правильности данных, вводимых в информационную систему

ОЦЛ.8Контроль ошибочных действий пользователей по вводу и (или) передаче персональных данных и предупреждение пользователей об ошибочных действиях


X. Обеспечение доступности персональных данных (ОДТ)

ОДТ.1 Использование отказоустойчивых технических средств

ОДТ.2Резервирование технических средств, программного обеспечения, каналов передачи информации, средств обеспечения функционирования информационной системы

ОДТ.3Контроль безотказного функционирования технических средств, обнаружение и локализация отказов функционирования, принятие мер по восстановлению отказавших средств и их тестирование

+

ОДТ.4 Периодическое резервное копирование персональных данных на резервные машинные носители персональных данных + +

ОДТ.5Обеспечение возможности восстановления персональных данных с резервных машинных носителей персональных данных (резервных копий) в течение установленного временного интервала

+ +


XI. Защита среды виртуализации (ЗСВ)

ЗСВ.1Идентификация и аутентификация субъектов доступа и объектов доступа в виртуальной инфраструктуре, в том числе администраторов управления средствами виртуализации

+ + + +

ЗСВ.2 Управление доступом субъектов доступа к объектам доступа в виртуальной инфраструктуре, в том числе внутри ВМ + + + +

ЗСВ.3 Регистрация событий безопасности в виртуальной инфраструктуре + + +

ЗСВ.4Управление (фильтрация, маршрутизация, контроль соединения, однонаправленная передача) потоками информации между компонентами виртуальной инфраструктуры, а также по периметру виртуальной инфраструктуры

ЗСВ.5 Доверенная загрузка серверов виртуализации, виртуальной машины (контейнера), серверов управления виртуализацией

ЗСВ.6 Управление перемещением виртуальных машин (контейнеров) и обрабатываемых на них данных + +

ЗСВ.7 Контроль целостности виртуальной инфраструктуры и ее конфигураций + +

ЗСВ. 8Резервное копирование данных, резервирование технических средств, программного обеспечения виртуальной инфраструктуры, а также каналов связи внутри виртуальной инфраструктуры

+ +

ЗСВ.9 Реализация и управление антивирусной защитой в виртуальной инфраструктуре + + +

ЗСВ.10Разбиение виртуальной инфраструктуры на сегменты (сегментирование виртуальной инфраструктуры) для обработки персональных данных отдельным пользователем и (или) группой пользователей

+ + +


XII. Защита технических средств (ЗТС)

ЗТС.1 Защита информации, обрабатываемой техническими средствами, от ее утечки по техническим каналам

ЗТС.2Организация контролируемой зоны, в пределах которой постоянно размещаются стационарные технические средства, обрабатывающие информацию, и средства защиты информации, а также средства обеспечения функционирования

ЗТС.3

Контроль и управление физическим доступом к техническим средствам, средствам защиты информации, средствам обеспечения функционирования, а также в помещения и сооружения, в которых они установлены, исключающие несанкционированный физический доступ к средствам обработки информации, средствам защиты информации и средствам обеспечения функционирования информационной системы, в помещения и сооружения, в которых они установлены

+ + + +

ЗТС.4 Размещение устройств вывода (отображения) информации, исключающее ее несанкционированный просмотр + + + +

ЗТС.5Защита от внешних воздействий (воздействий окружающей среды, нестабильности электроснабжения, кондиционирования и иных внешних факторов)


XIII. Защита информационной системы, ее средств, систем связи и передачи данных

ЗИС.1

Разделение в информационной системе функций по управлению (администрированию) информационной системой, управлению (администрированию) системой защиты персональных данных, функций по обработке персональных данных и иных функций информационной системы

+

ЗИС.2Предотвращение задержки или прерывания выполнения процессов с высоким приоритетом со стороны процессов с низким приоритетом

ЗИС.3

Обеспечение защиты персональных данных от раскрытия, модификации и навязывания (ввода ложной информации) при ее передаче (подготовке к передаче) по каналам связи, имеющим выход за пределы контролируемой зоны, в том числе беспроводным каналам связи

+ + + +

ЗИС.4Обеспечение доверенных канала, маршрута между администратором, пользователем и средствами защиты информации (функциями безопасности средств защиты информации)

ЗИС. 5Запрет несанкционированной удаленной активации видеокамер, микрофонов и иных периферийных устройств, которые могут активироваться удаленно, и оповещение пользователей об активации таких устройств

ЗИС.6Передача и контроль целостности атрибутов безопасности (меток безопасности), связанных с персональными данными, при обмене ими с иными информационными системами



ЗИС. 7

Контроль санкционированного и исключение несанкционированного использования технологий мобильного кода, в том числе регистрация событий, связанных с использованием технологий мобильного кода, их анализ и реагирование на нарушения, связанные с использованием технологий мобильного кода

ЗИС. 8

Контроль санкционированного и исключение несанкционированного использования технологий передачи речи, в том числе регистрация событий, связанных с использованием технологий передачи речи, их анализ и реагирование на нарушения, связанные с использованием технологий передачи речи

ЗИС.9

Контроль санкционированной и исключение несанкционированной передачи видеоинформации, в том числе регистрация событий, связанных с передачей видеоинформации, их анализ и реагирование на нарушения, связанные с передачей видеоинформации

ЗИС.10Подтверждение происхождения источника информации, получаемой в процессе определения сетевых адресов по сетевым именам или определения сетевых имен по сетевым адресам

ЗИС.11Обеспечение подлинности сетевых соединений (сеансов взаимодействия), в том числе для защиты от подмены сетевых устройств и сервисов

+ +

ЗИС.12 Исключение возможности отрицания пользователем факта отправки персональных данных другому пользователю



ЗИС.13 Исключение возможности отрицания пользователем факта получения персональных данных от другого пользователя

ЗИС.14 Использование устройств терминального доступа для обработки персональных данных

ЗИС.15Защита архивных файлов, параметров настройки средств защиты информации и программного обеспечения и иных данных, не подлежащих изменению в процессе обработки персональных данных

+ +

ЗИС.16Выявление, анализ и блокирование в информационной системы скрытых каналов передачи информации в обход реализованных мер или внутри разрешенных сетевых протоколов

ЗИС.17Разбиение информационной системы на сегменты (сегментирование информационной системы) и обеспечение защиты периметров сегментов информационной системы

+ +

ЗИС.18Обеспечение загрузки и исполнения программного обеспечения с машинных носителей персональных данных, доступных только для чтения, и контроль целостности данного программного обеспечения

ЗИС.19 Изоляция процессов (выполнение программ) в выделенной области памяти

ЗИС.20 Защита беспроводных соединений, применяемых в информационной системе + + +


XIV. Выявление инцидентов и реагирование на них (ИНЦ)

ИНЦ.1 Определение лиц, ответственных за выявление инцидентов и реагирование на них + +

ИНЦ.2 Обнаружение, идентификация и регистрация инцидентов + +

ИНЦ.3Своевременное информирование лиц, ответственных за выявление инцидентов и реагирование на них, о возникновении инцидентов в информационной системе пользователями и администраторами

+ +

ИНЦ.4 Анализ инцидентов, в том числе определение источников и причин возникновения инцидентов, а также оценка их последствий + +

ИНЦ. 5 Принятие мер по устранению последствий инцидентов + +

ИНЦ. 6 Планирование и принятие мер по предотвращению повторного возникновения инцидентов + +







XV. Управление конфигурацией информационной системы и системы защиты персональных данных (УКФ)

УКФ.1Определение лиц, которым разрешены действия по внесению изменений в конфигурацию информационной системы и системы защиты персональных данных

+ + +

УКФ.2 Управление изменениями конфигурации информационной системы и системы защиты персональных данных + + +

УКФ.3

Анализ потенциального воздействия планируемых изменений в конфигурации информационной системы и системы защиты персональных данных на обеспечение защиты персональных данных и согласование изменений в конфигурации информационной системы с должностным лицом (работником), ответственным за обеспечение безопасности персональных данных

+ + +

УКФ.4Документирование информации (данных) об изменениях в конфигурации информационной системы и системы защиты персональных данных

+ + +







Что делать владельцам ГИС

Приказ ФСТЭК России от 11.02.2013 №17

Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах

Регулирует деятельность по защите государственных информационных систем, в том числе при обработке ПДнЗарегистрирован Минюстом 31.05.2013 за №28608Вступит в действие 01.09.2013

Краткое сравнение

Приказ №17 Приказ №21ДЛЯ НОВЫХ ИЛИ МОДЕРНИЗИРУЕМЫХ ИС

Распространяется на ГИС и МИС

Распространяется наОператоров ПДн

Обязательная аттестация ИС

Проведение оценки эффективности защитных мер

Применение сертифицированных СЗИ

Применение СЗИ, прошедших процедуру оценки соответствия

Определяет порядок классификации ИС

Порядок определения уровня защищенности ПДн установлен в

ПП 1119

ПРАКТИЧЕСКИ ОДИНАКОВЫЙ НАБОР МЕР ЗАЩИТЫ

Классы ГИС

Уровеньзначимости

информации

Федеральный масштаб ГИС

Региональныймасштаб ГИС

Объектовыймасштаб ГИС

1 К1 К1 К1

2 К1 К2 К2

З К2 КЗ КЗ

4 КЗ КЗ К4

Классы ГИС и уровни защищенности ПДн

Класс защиты ГИСУровень защищенности ИСПДн

1 2 3 4

1 √ √ √ √

2 √ √ √

3 √ √

4 √

Состав и содержание мер

Удалены 2 раздела (10 мер):выявление инцидентов и реагирование на них управление конфигурацией информационной системы и системы защиты

Добавлены 14 мер:ИАФ.7 РСБ.8 ОДТ.6, ОДТ.7ЗИС.21 – ЗИС.30

Всего 13 групп, включающих 113 защитных мер

Сравнение строгости приказов

4 3 2 10%

10%

20%

30%

40%

50%

60%

70%

80%

31%

41%

67%

73%

25%

38%

61%63%

Приказ №17Приказ №21

Доля базовых мер от общего числа

Наиболее проблемные вопросы

Оценка возможного вреда

Обязанность возложена на оператора – ст. 18.1 ч 1 п 5:оценка вреда, который может быть причинен субъектам персональных данных в случае нарушения настоящего Федерального закона, соотношение указанного вреда и принимаемых оператором мер, направленных на обеспечение выполнения обязанностей, предусмотренных настоящим Федеральным законом

Методика оценки никем пока не определена

Составление перечня актуальных угроз

Состав актуальных угроз до сих пор не определен (ст 19 ч 5) Состав дополнительных актуальных угроз до сих пор не определен (ст 19 ч 6)

ФСТЭК России рекомендует до выхода новых документов ориентироваться на предыдущие документы в части касающейся

Применение сертифицированных СЗИ

ПРОТИВ – прямого указания нет (…реализуются в том числе посредством применения СЗИ, прошедших в установленном порядке процедуру оценки соответствия, в случаях, когда применение таких средств необходимо для нейтрализации актуальных угроз безопасности)ЗА – установлены требования по уровню сертификации при применении сертифицированных СЗИМнения экспертов и регуляторов диаметрально противоположны

Применение сертифицированных СЗИПостановление Правительства РФ от 15 мая 2010 г. №330 «Об особенностях оценки соответствия продукции (работ, услуг), используемой в целях защиты сведений, относимых к охраняемой в соответствии с законодательством РФ информации ограниченного доступа, не содержащей сведения, составляющие государственную тайну, а также процессов ее проектирования (включая изыскании), производства, строительства, монтажа, наладки, эксплуатации, хранения, перевозки, реализации, утилизации и захоронения, об особенностях аккредитации органов по сертификации и испытательных лабораторий (центров), выполняющих работы по подтверждению соответствия указанной продукции (работ, услуг)»

оценка соответствия осуществляется в формах обязательной сертификации и государственного контроля (надзора)

Что делать с существующими ИСПДн

По общему правилу нормативный акт применяется к отношениям, имевшим место после его вступления в силу и до утраты им силы, т.е. владельцам систем защиты ИСПДн, построившим их до 02.06.2013, можно ничего не делать НО – Что делать при изменении/развитии ИСПДн и где проходит граница между незначительными и значительными изменениями?

Как проводить оценку

152-ФЗ, Ст 19 ч 2 п 4 – Оценка эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данныхПриказ №21, п 6 – Оценка проводится не реже одного раза в 3 года

Методика оценки никем пока не определена

Чем полезен «Код Безопасности»

Наши продутыКомплекс сертифицированных продуктов от одного производителя для защиты информации в соответствии с требованиями регуляторов

Сертификация наших продуктов

57 действующих сертификатов, позволяющих защищать конфиденциальную информацию, персональные данные и сведения, составляющие государственную тайну

Анализ соответствия требованиям

Примеры соответствия требованиям

Secret Net выполнение мер ИАФ, УПДчастичное выполнение мер ЗНИ, РСБ, ОЦЛ, ЗИС

vGateполное выполнение 7 мер ЗВС и частичное выполнение 2 мер ЗВСполное выполнение мер ИАФ, УПДчастичное выполнение мер РСБ, ОЦЛ

Преимущества наших продуктов

Объединены единым архитектурным замыслом и ориентированы на обеспечение безопасности различных компонентов информационной системыПредназначены для применения в сложных современных информационных системах (совместимость и интеграция с корпоративными каталогами пользователей, используемой инфраструктурой PKI, SIEM-решениями и т.п.)Имеют специальные возможности для постепенного наращивания уровня защищенности без нарушения функционирования информационной системы

Подробнее – www.securitycode.ru

Документация и демоверсииТиповые схемы примененияРекомендации по настройке для защиты различных видов тайнРегулярные вебинары по продуктам и новинкам законодательства

СПАСИБО!

Андрей СтепаненкоДиректор по маркетингу[email protected]+7 495 980 2345

Изменения в законодательстве по защите персональных...

Technology

xiii