Об обеспечении безопасности персональных данных с использованием шифровальных (криптографических) средств


The Presentation inside:

Slide 0

2009 г. Об обеспечении безопасности персональных данных с использованием шифровальных (криптографических) средств


Slide 1

2 Оператор – государственный орган, муниципальный орган, юридическое или физическое лицо, организующие и (или) осуществляющее обработку персональных данных, а также определяющие цели и содержание обработки персональных данных. Оператор обязан принимать необходимые организационные и технические меры, в том числе использовать шифровальные (криптографические) средства для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, копирования, распространения и т.д.


Slide 2

3 Нормативные документы разработанные ФСБ России ,ФСТЭК России и Минкомсвязи России «Положение об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных», утвержденное Постановлением Правительства Российской Федерации от 17 ноября 2007 года № 781 «Требования к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных», утвержденные постановлением Правительства Российской Федерации от 6 июля 2008 года № 512 В 2008 г. ФСТЭК России, ФСБ России и Минкомсвязи России разработан и подписан совместный приказ «Об утверждении Порядка проведения классификации информационных систем персональных данных» от 13 февраля 2008 г. № 55/86/20, который зарегистрирован в Минюсте России за № 11462 от 3.04.2008


Slide 3

4 Основные задачи ФСБ России -установление методов и способов защиты информации в информационных системах персональных данных (ИСПДн) в пределах своих полномочий; -определение в пределах своих полномочий возможных каналов утечки информации при обработке ПД в ИСПДн; -определение конкретных сроков проведения контрольных тематических исследований шифровальных (криптографических) средств, предназначенных для защиты информации, не содержащей сведений, составляющих государственную тайну (далее – криптосредство) и используемых для обеспечения безопасности ПД; -проведение экспертизы тематических исследований криптосредств, применяемых для обеспечения безопасности персональных данных, согласование соответствующих правил пользования и изменений условий применения средств защиты, предусмотренных указанными правилами;


Slide 4

5 -определение перечня индексов, условных наименований и регистрационных номеров средств шифрования; -утверждение в пределах своей компетенции нормативных правовых актов и методических документов, необходимых для выполнения требований, предусмотренных Положением, утвержденным постановлением Правительства Российской Федерации от 17.11.2007 № 781; -предоставление в установленном законодательством Российской Федерации порядке в уполномоченный орган по защите прав субъектов персональных данных информации о нарушении безопасности персональных данных для принятия мер по приостановлению или прекращению их; -контроль и надзор в пределах своих полномочий за выполнением требований Правительства Российской Федерации к обеспечению безопасности персональных данных.


Slide 5

6 Типовые информационные системы - информационные системы, в которых требуется обеспечение только конфиденциальности персональных данных. Специальные информационные системы - информационные системы, в которых вне зависимости от необходимости обеспечения конфиденциальности персональных данных требуется обеспечить хотя бы одну из характеристик безопасности персональных данных, отличную от конфиденциальности (защищенность от уничтожения, изменения, блокирования, а также иных несанкционированных действий).


Slide 6

7 Этапы проведения работ На первом этапе оператором осуществляется классификация информационной системы. На втором этапе, исходя из класса информационной системы персональных данных, осуществляются разработка и реализация мероприятий по техническому обеспечению безопасности персональных данных, включая: -мероприятия по размещению, специальному оборудованию, охране и организации режима допуска в помещения, где ведется работа с персональными данными; -мероприятия по закрытию технических каналов утечки персональных данных при их обработке в информационных системах; -мероприятия по защите от несанкционированных действий и определению порядка выбора средств защиты персональных данных при их обработке в информационных системах.


Slide 7

8 Наиболее вероятные случаи использования криптосредств -в системах, являющихся комплексами автоматизированных рабочих мест и (или) локальных информационных систем, объединенных в единую информационную систему средствами связи. Необходимость криптографической защиты информации возникает при передаче информации в среду, в которой она может оказаться доступной нарушителю, например - незащищенные от несанкционированного доступа средства хранения информации и каналы связи; -в системах, являющихся многопользовательскими, в которых в соответствии с моделью угроз введено разграничение прав доступа пользователей и возможно наличие инсайдера, а безопасность хранения и обработки не может быть гарантированно обеспечена другими средствами; -в государственных информационных системах, в которых в соответствии с Федеральным законом № 149-ФЗ от 27 июля 2006г. «Об информации, информационных технологиях и о защите информации» требования о криптографической защите информации установлены Федеральной службой безопасности Российской Федерации.


Slide 8

9 Документы, разработанные ФСБ России во исполнение Федерального закона № 152-ФЗ «О персональных данных» и Постановления Правительства Российской Федерации от 17 ноября 2007 года № 781 «Методические рекомендации по обеспечению с помощью криптосредств безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств автоматизации» «Типовые требования по организации и обеспечению функционирования шифровальных (криптографических) средств, предназначенных для защиты информации, не содержащей сведений, составляющих государственную тайну, в случае их использования для обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных»


Slide 9

10 Основные принципы разработки нормативных документов ФСБ России -открытость; -преемственность; -сведение классификации информационных систем персональных данных к существующей классификации по уровням криптографической защиты; -достаточность документов для самостоятельного определения требуемого уровня криптографической защиты операторами с различным уровнем подготовки в области защиты информации.


Slide 10

11 «Безопасность персональных данных при их обработке в информационных системах обеспечивается с помощью системы защиты персональных данных, включающей организационные меры и средства защиты информации (в том числе шифровальные (криптографические) средства, средства предотвращения несанкционированного доступа, утечки информации по техническим каналам, программно-технических воздействий на технические средства обработки персональных данных), а также используемые в информационной системе информационные технологии. Технические и программные средства должны удовлетворять устанавливаемым в соответствии с законодательством Российской Федерации требованиям, обеспечивающим защиту информации».


Slide 11

12 Методические рекомендации Методические рекомендации предназначены для операторов и разработчиков информационных систем персональных данных и позволяют: -сформировать модели угроз и нарушителей; -определить на основе построенной модели нарушителя требуемый уровень криптографической защиты персональных данных и, как следствие, определить требуемый класс защиты применяемого криптосредства; -определить требуемый уровень защиты от несанкционированного доступа; -определить требуемый уровень защиты от утечки информации по побочным каналам.


Slide 12

13 Типовые требования Типовые требования предназначены для использования операторами информационных систем и определяют: -организационно-технические меры при развертывании и эксплуатации информационных систем; -порядок обращения с криптосредствами и криптоключами к ним; -мероприятия при компрометации криптоключей; -порядок размещения, специального оборудования, охраны и организации режима в помещениях, где установлены криптосредства или хранятся ключевые документы к ним.


Slide 13

14 Нормативные документы ФСБ России могут быть получены по запросу: -в 8 Центре ФСБ России; -в территориальных органах ФСБ России. Рассылка этих материалов осуществляется государственным и коммерческим структурам, а также операторам информационных систем персональных данных и лицензиатам ФСБ России в области криптографии.


Slide 14

Предлагаемые виды проверок В зависимости от ведомственного состава участвующих в их проведении: Комплексные - которые проводятся одновременно по всем направлениям контроля и надзора, с  проверкой соблюдения оператором обязательных требований и норм, установленных нормативными правовыми актами в области обработки персональных данных и требований к обеспечению их безопасности. Целевые - которые проводятся с целью оценки соблюдения требований к обеспечению безопасности персональных данных, установленных постановлениями Правительства РФ, при этом проверки могут проводиться: -совместно со ФСТЭК России; -силами специалистов 8 Центра ФСБ России или сотрудников территориальных органов безопасности в части использования криптосредств. 15


Slide 15

Проверки проводятся: -в отношении операторов, подавших уведомление об обработке персональных данных и (или) включенных в Реестр операторов; -в отношении операторов, осуществляющих обработку персональных данных без уведомления Россвязькомнадзора на основании ч.2 ст.22 Федерального закона; -в отношении операторов на основании полученных жалоб и обращений граждан или юридических лиц по вопросам, связанным с обработкой персональных данных или обеспечением их безопасности. 16


Slide 16

Мероприятия по государственному контролю и надзору за использованием средств криптографии, применяемых для защиты персональных данных, будут проводиться исходя из следующих основных принципов: -оценка выполнения требований к обеспечению безопасности осуществляется в соответствии с требованиями Федерального закона без ознакомления с персональными данными; -работы проводятся в строгом соответствии с требованиями Федерального закона «О защите прав юридических лиц и индивидуальных предпринимателей при проведении государственного контроля (надзора)». 17


Slide 17

Спасибо за внимание! Москва, 2009


×

HTML:





Ссылка: