Комплексная защита персональных данных
-
Upload
spiritussancti -
Category
Technology
-
view
1.001 -
download
2
description
Transcript of Комплексная защита персональных данных
![Page 1: Комплексная защита персональных данных](https://reader033.fdocument.pub/reader033/viewer/2022061118/5468c413af795997108b5255/html5/thumbnails/1.jpg)
Комплексная система защиты персональных
данных
Евгений Сердечнюк
Отдел АЦИТ
![Page 2: Комплексная защита персональных данных](https://reader033.fdocument.pub/reader033/viewer/2022061118/5468c413af795997108b5255/html5/thumbnails/2.jpg)
Необходимость защиты
Указ Президента РФ от 06.03.97 №188 «Об утверждении перечня сведений конфиденциального характера», пункт 1
Федеральный Закон от 27.07.06 №152-ФЗ «О персональных данных», ст.1
![Page 3: Комплексная защита персональных данных](https://reader033.fdocument.pub/reader033/viewer/2022061118/5468c413af795997108b5255/html5/thumbnails/3.jpg)
Требования по защите
Федеральное Законодательство (в первую очередь 152-ФЗ)
Постановление Правительства №687 Постановление Правительства №781 Трудовой Кодекс другие нормативные документы
![Page 4: Комплексная защита персональных данных](https://reader033.fdocument.pub/reader033/viewer/2022061118/5468c413af795997108b5255/html5/thumbnails/4.jpg)
Регуляторы
Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор)
![Page 5: Комплексная защита персональных данных](https://reader033.fdocument.pub/reader033/viewer/2022061118/5468c413af795997108b5255/html5/thumbnails/5.jpg)
Регуляторы
Федеральная Служба по Техническому и Экспортному Контролю (ФСТЭК)
Федеральная Служба Безопасности (ФСБ)
![Page 6: Комплексная защита персональных данных](https://reader033.fdocument.pub/reader033/viewer/2022061118/5468c413af795997108b5255/html5/thumbnails/6.jpg)
Роскомнадзор
Организационно-правовые вопросы защиты
Упор на защиту прав субъектов персональных данных
База: 152-ФЗ, ПП №687, 14 глава ТК
![Page 7: Комплексная защита персональных данных](https://reader033.fdocument.pub/reader033/viewer/2022061118/5468c413af795997108b5255/html5/thumbnails/7.jpg)
ФСТЭК
Вопросы технической защиты информации
База: 152-ФЗ, ПП №781
![Page 8: Комплексная защита персональных данных](https://reader033.fdocument.pub/reader033/viewer/2022061118/5468c413af795997108b5255/html5/thumbnails/8.jpg)
ФСБ
Криптографическая защита информации База: ПП №781
![Page 9: Комплексная защита персональных данных](https://reader033.fdocument.pub/reader033/viewer/2022061118/5468c413af795997108b5255/html5/thumbnails/9.jpg)
Актуальные требования
Роскомнадзор: «Типовая программа проведения
мероприятий» «Административный регламент проведения
проверок»
![Page 10: Комплексная защита персональных данных](https://reader033.fdocument.pub/reader033/viewer/2022061118/5468c413af795997108b5255/html5/thumbnails/10.jpg)
Актуальные требования
ФСТЭК: Приказ от 05.02.10 «Об утверждении
Положения о методах и способах защиты информации в ИСПДн»
![Page 11: Комплексная защита персональных данных](https://reader033.fdocument.pub/reader033/viewer/2022061118/5468c413af795997108b5255/html5/thumbnails/11.jpg)
Пункты проверки Роскомнадзора
1) Наличие согласий субъектов на обработку их персональных данных.
2) Факты передачи персональных данных третьим лицам без уведомления и получения согласия субъекта.
![Page 12: Комплексная защита персональных данных](https://reader033.fdocument.pub/reader033/viewer/2022061118/5468c413af795997108b5255/html5/thumbnails/12.jpg)
Пункты проверки Роскомнадзора
3) Осуществлялось ли размещение в СМИ персональных данных не являющихся общедоступными без соответствующего согласия.
4) Наличие согласия на обработку персональных данных в рекламных целах если такая обработка осуществляется
![Page 13: Комплексная защита персональных данных](https://reader033.fdocument.pub/reader033/viewer/2022061118/5468c413af795997108b5255/html5/thumbnails/13.jpg)
Пункты проверки Роскомнадзора
5) Соблюдение конфиденциальности персональных данных при их обработке.
6) Своевременное уведомление уполномоченного органа в случае обработки персональных данных, не подпадающих под исключения.
![Page 14: Комплексная защита персональных данных](https://reader033.fdocument.pub/reader033/viewer/2022061118/5468c413af795997108b5255/html5/thumbnails/14.jpg)
Пункты проверки Роскомнадзора
7) Соответствие сведений, содержащихся в уведомлении фактической деятельности оператора.
8) Своевременное представление сведений об изменении информации, содержащейся в уведомлении.
![Page 15: Комплексная защита персональных данных](https://reader033.fdocument.pub/reader033/viewer/2022061118/5468c413af795997108b5255/html5/thumbnails/15.jpg)
Пункты проверки Роскомнадзора
9) Соответствие письменного согласия субъекта требованиям законодательства РФ.
10) Соблюдение требования предоставления информации, касающейся персональных данных субъекта, в случае получения соответствующего запроса.
![Page 16: Комплексная защита персональных данных](https://reader033.fdocument.pub/reader033/viewer/2022061118/5468c413af795997108b5255/html5/thumbnails/16.jpg)
Пункты проверки Роскомнадзора
11) Наличие согласия на обработку биометрических персональных данных субъекта, если такая обработка осуществляется.
12) Осуществлялась ли обработка специальных категорий персональных данных, в случае если такая обработка не допускается.
![Page 17: Комплексная защита персональных данных](https://reader033.fdocument.pub/reader033/viewer/2022061118/5468c413af795997108b5255/html5/thumbnails/17.jpg)
Пункты проверки Роскомнадзора
13) Исполнение обязанности по прекращению обработки и уничтожению персональных данных, в случае отзыва субъектом согласия.
14) Информирование лиц, осуществляющих обработку персональных данных без использования средств автоматизации.
![Page 18: Комплексная защита персональных данных](https://reader033.fdocument.pub/reader033/viewer/2022061118/5468c413af795997108b5255/html5/thumbnails/18.jpg)
Пункты проверки Роскомнадзора
15) Соответствие типовых форм документов, характер информации в которых предполагает или допускает включение в них персональных данных, требованиям законодательства РФ.
![Page 19: Комплексная защита персональных данных](https://reader033.fdocument.pub/reader033/viewer/2022061118/5468c413af795997108b5255/html5/thumbnails/19.jpg)
Пункты проверки Роскомнадзора
16) Определение мест хранений материальных носителей персональных данных и круга лиц, имеющих к ним доступ – при неавтоматизированной обработке
![Page 20: Комплексная защита персональных данных](https://reader033.fdocument.pub/reader033/viewer/2022061118/5468c413af795997108b5255/html5/thumbnails/20.jpg)
Пункты проверки Роскомнадзора
17) Соблюдение условий, обеспечивающих сохранность материальных носителей персональных данных и исключающих несанкционированный к ним доступ
![Page 21: Комплексная защита персональных данных](https://reader033.fdocument.pub/reader033/viewer/2022061118/5468c413af795997108b5255/html5/thumbnails/21.jpg)
Пункты проверки Роскомнадзора
18) Наличие в договоре условия об обеспечении конфиденциальности и безопасности персональных данных при их обработке, в случае, если оператор поручает обработку персональных данных другому лицу.
19) Требования 14 главы Трудового Кодекса.
![Page 22: Комплексная защита персональных данных](https://reader033.fdocument.pub/reader033/viewer/2022061118/5468c413af795997108b5255/html5/thumbnails/22.jpg)
Требования ФСТЭК
Общие положения
Защита информации:
1) Защита от НСД
2) Защита от утечек по техническим каналам
![Page 23: Комплексная защита персональных данных](https://reader033.fdocument.pub/reader033/viewer/2022061118/5468c413af795997108b5255/html5/thumbnails/23.jpg)
Защита от НСД
1) Разрешительная система допуска пользователей
2) Ограничение доступа в некоторые помещения
3) Разграничение доступа пользователей и обслуживающего персонала
![Page 24: Комплексная защита персональных данных](https://reader033.fdocument.pub/reader033/viewer/2022061118/5468c413af795997108b5255/html5/thumbnails/24.jpg)
Защита от НСД
4) Регистрация действий пользователей и обслуживающего персонала
5) Учет и хранение съемных носителей; ведение журнала обращений к ним
6) Резервирование технических средств, дублирование массивов и носителей информации
![Page 25: Комплексная защита персональных данных](https://reader033.fdocument.pub/reader033/viewer/2022061118/5468c413af795997108b5255/html5/thumbnails/25.jpg)
Защита от НСД
7) Использование СЗИ
8) Использование защищенных каналов связи
9) Размещение ИСПДн в пределах охраняемой территории
10) Организация физической защиты помещений и тех.средств.
11) Предотвращение вирусов, троянов и т.п.
![Page 26: Комплексная защита персональных данных](https://reader033.fdocument.pub/reader033/viewer/2022061118/5468c413af795997108b5255/html5/thumbnails/26.jpg)
Защита от НСД
При подключении к Интернету:
1) Межсетевое экранирование
2) Средства обнаружения вторжений
3) Анализ сканерами безопасности
4) Защита информации при передаче
5) Использование физического механизма идентификации пользователей
![Page 27: Комплексная защита персональных данных](https://reader033.fdocument.pub/reader033/viewer/2022061118/5468c413af795997108b5255/html5/thumbnails/27.jpg)
Защита от НСД
6) Антивирусная защита
7) Централизованное управление системой защиты
![Page 28: Комплексная защита персональных данных](https://reader033.fdocument.pub/reader033/viewer/2022061118/5468c413af795997108b5255/html5/thumbnails/28.jpg)
Защита от утечки по тех.каналам
1) СВТ должны соответствовать требованиям стандартов по электромагнитной совместимости и т.п.
2) Устройства вывода должны располагаться таким образом, чтобы посторонний не мог увидеть выведенную информацию
![Page 29: Комплексная защита персональных данных](https://reader033.fdocument.pub/reader033/viewer/2022061118/5468c413af795997108b5255/html5/thumbnails/29.jpg)
Способы защиты для ИСПДн 2 класса
Разделение режимов:
- однопользовательский
- многопользовательский с равными правами
- многопользовательский с разными правами
![Page 30: Комплексная защита персональных данных](https://reader033.fdocument.pub/reader033/viewer/2022061118/5468c413af795997108b5255/html5/thumbnails/30.jpg)
Однопользовательский режим
Проверка по паролю; пароль не менее 6 буквенно-цифровых символов
Регистрация входа-выхода пользователя Учет носителей информации Проверка целостности защитного ПО по
наличию имен компонентов защиты Запрет на наличие средств отладки
![Page 31: Комплексная защита персональных данных](https://reader033.fdocument.pub/reader033/viewer/2022061118/5468c413af795997108b5255/html5/thumbnails/31.jpg)
Однопользовательский режим
Физическая охрана Тестирование СЗИ с помощью программ,
имитирующих НСД Наличие средств восстановления Ведение резервной копии ПО СЗИ
![Page 32: Комплексная защита персональных данных](https://reader033.fdocument.pub/reader033/viewer/2022061118/5468c413af795997108b5255/html5/thumbnails/32.jpg)
Многопользовательский с равными правами
При идентификации: + проверка по логину Фиксируется результат попытки входа в
систему
![Page 33: Комплексная защита персональных данных](https://reader033.fdocument.pub/reader033/viewer/2022061118/5468c413af795997108b5255/html5/thumbnails/33.jpg)
Многопользовательский с разными правами
При входе-выходе фиксируется идентификатор (или фамилия) пользователя
Учет носителей ведется с отметками об их выдаче и приеме
+ Требования к межсетевому экранированию
![Page 34: Комплексная защита персональных данных](https://reader033.fdocument.pub/reader033/viewer/2022061118/5468c413af795997108b5255/html5/thumbnails/34.jpg)
Сердечнюк Е.В.АЦИТ ГОУ ВПО «СибГУТИ»
2010 г.