Комплексная защита персональных данных

Комплексная система защиты персональных

данных

Евгений Сердечнюк

Отдел АЦИТ

Необходимость защиты

Указ Президента РФ от 06.03.97 №188 «Об утверждении перечня сведений конфиденциального характера», пункт 1

Федеральный Закон от 27.07.06 №152-ФЗ «О персональных данных», ст.1

Требования по защите

Федеральное Законодательство (в первую очередь 152-ФЗ)

Постановление Правительства №687 Постановление Правительства №781 Трудовой Кодекс другие нормативные документы

Регуляторы

Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор)

Регуляторы

Федеральная Служба по Техническому и Экспортному Контролю (ФСТЭК)

Федеральная Служба Безопасности (ФСБ)

Роскомнадзор

Организационно-правовые вопросы защиты

Упор на защиту прав субъектов персональных данных

База: 152-ФЗ, ПП №687, 14 глава ТК

ФСТЭК

Вопросы технической защиты информации

База: 152-ФЗ, ПП №781

ФСБ

Криптографическая защита информации База: ПП №781

Актуальные требования

Роскомнадзор: «Типовая программа проведения

мероприятий» «Административный регламент проведения

проверок»

Актуальные требования

ФСТЭК: Приказ от 05.02.10 «Об утверждении

Положения о методах и способах защиты информации в ИСПДн»

Пункты проверки Роскомнадзора

1) Наличие согласий субъектов на обработку их персональных данных.

2) Факты передачи персональных данных третьим лицам без уведомления и получения согласия субъекта.

Пункты проверки Роскомнадзора

3) Осуществлялось ли размещение в СМИ персональных данных не являющихся общедоступными без соответствующего согласия.

4) Наличие согласия на обработку персональных данных в рекламных целах если такая обработка осуществляется

Пункты проверки Роскомнадзора

5) Соблюдение конфиденциальности персональных данных при их обработке.

6) Своевременное уведомление уполномоченного органа в случае обработки персональных данных, не подпадающих под исключения.

Пункты проверки Роскомнадзора

7) Соответствие сведений, содержащихся в уведомлении фактической деятельности оператора.

8) Своевременное представление сведений об изменении информации, содержащейся в уведомлении.

Пункты проверки Роскомнадзора

9) Соответствие письменного согласия субъекта требованиям законодательства РФ.

10) Соблюдение требования предоставления информации, касающейся персональных данных субъекта, в случае получения соответствующего запроса.

Пункты проверки Роскомнадзора

11) Наличие согласия на обработку биометрических персональных данных субъекта, если такая обработка осуществляется.

12) Осуществлялась ли обработка специальных категорий персональных данных, в случае если такая обработка не допускается.

Пункты проверки Роскомнадзора

13) Исполнение обязанности по прекращению обработки и уничтожению персональных данных, в случае отзыва субъектом согласия.

14) Информирование лиц, осуществляющих обработку персональных данных без использования средств автоматизации.

Пункты проверки Роскомнадзора

15) Соответствие типовых форм документов, характер информации в которых предполагает или допускает включение в них персональных данных, требованиям законодательства РФ.

Пункты проверки Роскомнадзора

16) Определение мест хранений материальных носителей персональных данных и круга лиц, имеющих к ним доступ – при неавтоматизированной обработке

Пункты проверки Роскомнадзора

17) Соблюдение условий, обеспечивающих сохранность материальных носителей персональных данных и исключающих несанкционированный к ним доступ

Пункты проверки Роскомнадзора

18) Наличие в договоре условия об обеспечении конфиденциальности и безопасности персональных данных при их обработке, в случае, если оператор поручает обработку персональных данных другому лицу.

19) Требования 14 главы Трудового Кодекса.

Требования ФСТЭК

Общие положения

Защита информации:

1) Защита от НСД

2) Защита от утечек по техническим каналам

Защита от НСД

1) Разрешительная система допуска пользователей

2) Ограничение доступа в некоторые помещения

3) Разграничение доступа пользователей и обслуживающего персонала

Защита от НСД

4) Регистрация действий пользователей и обслуживающего персонала

5) Учет и хранение съемных носителей; ведение журнала обращений к ним

6) Резервирование технических средств, дублирование массивов и носителей информации

Защита от НСД

7) Использование СЗИ

8) Использование защищенных каналов связи

9) Размещение ИСПДн в пределах охраняемой территории

10) Организация физической защиты помещений и тех.средств.

11) Предотвращение вирусов, троянов и т.п.

Защита от НСД

При подключении к Интернету:

1) Межсетевое экранирование

2) Средства обнаружения вторжений

3) Анализ сканерами безопасности

4) Защита информации при передаче

5) Использование физического механизма идентификации пользователей

Защита от НСД

6) Антивирусная защита

7) Централизованное управление системой защиты

Защита от утечки по тех.каналам

1) СВТ должны соответствовать требованиям стандартов по электромагнитной совместимости и т.п.

2) Устройства вывода должны располагаться таким образом, чтобы посторонний не мог увидеть выведенную информацию

Способы защиты для ИСПДн 2 класса

Разделение режимов:

- однопользовательский

- многопользовательский с равными правами

- многопользовательский с разными правами

Однопользовательский режим

Проверка по паролю; пароль не менее 6 буквенно-цифровых символов

Регистрация входа-выхода пользователя Учет носителей информации Проверка целостности защитного ПО по

наличию имен компонентов защиты Запрет на наличие средств отладки

Однопользовательский режим

Физическая охрана Тестирование СЗИ с помощью программ,

имитирующих НСД Наличие средств восстановления Ведение резервной копии ПО СЗИ

Многопользовательский с равными правами

При идентификации: + проверка по логину Фиксируется результат попытки входа в

систему

Многопользовательский с разными правами

При входе-выходе фиксируется идентификатор (или фамилия) пользователя

Учет носителей ведется с отметками об их выдаче и приеме

+ Требования к межсетевому экранированию

Сердечнюк Е.В.АЦИТ ГОУ ВПО «СибГУТИ»

2010 г.