Управление ФСТЭК России по Сибирскому федеральному округу ТЮМЕНЦЕВ Вадим Витальевич «О требованиях к защите персональных данных при их обработке в информационных системах персональных данных и изменениях в законодательстве в сфере персональных данных» ФЕДЕРАЛЬНЫМ ЗАКОНОМ РОССИЙСКОЙ ФЕДЕРАЦИИ ОТ 27.07.2006 Г. № 152-ФЗ «О ПЕРСОНАЛЬНЫХ ДАННЫХ» УСТАНОВЛЕНО: Статья 7. Конфиденциальность персональных данных Операторы и иные лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом. 2 3 ОСНОВНЫЕ ПОНЯТИЯ: Персональные данные – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных) ОБЪЕКТЫ ЗАЩИТЫ Информационная система персональных данных – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств ОСНОВНЫЕ ПОНЯТИЯ: Обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных Техническая защита конфиденциальной информации выполнение работ и (или) оказание услуг по ее защите от несанкционированного доступа, от утечки по техническим каналам, а также от специальных воздействий на такую информацию в целях ее уничтожения, искажения или блокирования доступа к ней. 4 НЕПРАВОМЕРНЫЙ ИЛИ СЛУЧАЙНЫЙ ОПЕРАТОР ПРИ ОБРАБОТКЕ ПЕРСОНАЛЬНЫХ ДАННЫХ ОБЯЗАН ПРИНИМАТЬ МЕРЫ ОТ ДОСТУП УНИЧТОЖЕНИЕ ИЗМЕНЕНИЕ БЛОКИРОВАНИЕ КОПИРОВАНИЕ ПРЕДОСТАВЛЕНИЕ РАСПРОСТРАНЕНИЕ 5 МЕРЫ ПО ОБЕСПЕЧЕНИЮ БЕЗОПАСНОСТИ ПДН ПРИ ИХ ОБРАБОТКЕ определением угроз безопасности ПДн при их обработке в ИСПДн применением организационных и технических мер по обеспечению безопасности ПДн при их обработке в ИСПДн, необходимых для выполнения требований к защите ПДн, исполнение которых обеспечивает установленные Правительством Российской Федерации уровни защищенности ПДн применением прошедших в установленном порядке процедуру оценки соответствия средств защиты информации оценкой эффективности принимаемых мер по обеспечению безопасности ПДн до ввода в эксплуатацию ИСПДн учетом машинных носителей ПДн обнаружением фактов несанкционированного доступа к ПДн и принятием мер восстановлением ПДн, модифицированных или уничтоженных вследствие несанкционированного доступа к ним установлением правил доступа к ПДн, обрабатываемым в ИСПДн, а также обеспечением регистрации и учета всех действий, совершаемых с ПДн в ИСПДн контролем за принимаемыми мерами по обеспечению безопасности ПДн и уровня защищенности ИСПДн 6 ОСНОВНЫЕ ПОНЯТИЯ: Угрозы безопасности персональных данных - совокупность условий и факторов, создающих опасность несанкционированного, в том числе случайного, доступа к персональным данным, результатом которого могут стать уничтожение, изменение, блокирование, копирование, предоставление, распространение персональных данных, а также иные неправомерные действия при их обработке в информационной системе персональных данных Уровень защищенности персональных данных - комплексный показатель, характеризующий требования, исполнение которых обеспечивает нейтрализацию определенных угроз безопасности персональных данных при их обработке в информационных системах персональных данных 7 8 ФСТЭК России ФСТЭК России Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных 9 ПОСТАНОВЛЕНИЕ ПРАВИТЕЛЬСТВА РОССИЙСКОЙ ФЕДЕРАЦИИ Об особенностях оценки соответствия продукции (работ, услуг), используемых в целях защиты сведений, относимых к охраняемой в соответствии с законодательством Российской Федерации информации ограниченного доступа, не содержащей сведения, составляющие государственную тайну, а также процессов ее проектирования (включая изыскания), производства, строительства, монтажа, наладки, эксплуатации, хранения, перевозки, реализации, утилизации и захоронения, об особенностях аккредитации органов по сертификации и испытательных лабораторий (центров), выполняющих работы по подтверждению соответствия указанной продукции (работ, услуг) Москва, 15 мая 2010 года №330 п. 6 Оценка соответствия осуществляется в формах обязательной сертификации и государственного контроля (надзора). Объектом обязательной сертификации является продукция. Объектом государственного контроля (надзора) является продукция (работы, услуги) и процессы. ПРИМЕР ПОДБОРА СЗИ ИЗ ГОСУДАРСТВЕННОГО РЕЕСТРА СЗИ 10 11 Правительство Российской Федерации с учетом возможного вреда субъекту ПДн, объема и содержания обрабатываемых ПДн, вида деятельности, при осуществлении которого обрабатываются ПДн, актуальности угроз безопасности ПДн устанавливает: 1) уровни защищенности ПДн при их обработке в информационных системах ПДн в зависимости от угроз безопасности этих данных; 2) требования к защите ПДн при их обработке в информационных системах персональных данных, исполнение которых обеспечивает установленные уровни защищенности ПДн; 3) требования к материальным носителям биометрических ПДн и технологиям хранения таких данных вне информационных систем персональных данных. ЗАДАЧИ 12 ФЕДЕРАЛЬНЫХ ОРГАНОВ ИСПОЛНИТЕЛЬНОЙ ВЛАСТИ, УПОЛНОМОЧЕННЫХ В ОБЛАСТИ ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ И ПРОТИВОДЕЙСТВИЯ ТЕХНИЧЕСКИМ РАЗВЕДКАМ И ТЕХНИЧЕСКОЙ ЗАЩИТЫ ИНФОРМАЦИИ ФСБ России ФСТЭК России Уровни защищенности ПДн Состав и содержание требований к защите ПДн, а также организационных и технических мер по обеспечению безопасности ПДн ПРОЕКТЫ ПРИКАЗОВ ФЕДЕРАЛЬНЫХ ОРГАНОВ ИСПОЛНИТЕЛЬНОЙ ВЛАСТИ Приказ ФСБ России об утверждении состава и содержания необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности организационных и технических мер по обеспечению безопасности персональных данных при обработке в информационных системах персональных данных, в сфере деятельности ФСБ России Приказ ФСТЭК России об утверждении состава и содержания необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности организационных и технических мер по обеспечению безопасности персональных данных при обработке в информационных системах персональных данных, в сфере деятельности ФСТЭК России 13 ЗАДАЧИ ГОСУДАРСТВЕННЫХ СТРУКТУР 14 федеральные органы исполнительной власти, органы Характер и способы обработки ПДн Содержание ПДн Вид деятельности государственной власти субъектов Российской Федерации, Банк России, органы государственных внебюджетных фондов, иные государственные органы НОРМАТИВНЫЕ ПРАВОВЫЕ АКТЫ, ОПРЕДЕЛЯЮЩИЕ УГРОЗЫ БЕЗОПАСНОСТИ ПДН согласование согласование ФСБ России ФСТЭК России 15 ОБЯЗАННОСТИ ЛИЦ, ОТВЕТСТВЕННЫХ ЗА ОРГАНИЗАЦИЮ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ: осуществлять внутренний контроль за соблюдением оператором и его работниками законодательства Российской Федерации о персональных данных, в том числе требований к защите персональных данных доводить до сведения работников оператора положения законодательства Российской Федерации о персональных данных, локальных актов по вопросам обработки персональных данных, требований к защите персональных данных организовывать прием и обработку обращений и запросов субъектов персональных данных или их представителей и (или) осуществлять контроль за приемом и обработкой таких обращений и запросов 16 ПОЛНОМОЧИЯ ПО КОНТРОЛЮ И НАДЗОРУ ЗА ВЫПОЛНЕНИЕМ ОРГАНИЗАЦИОННЫХ И ТЕХНИЧЕСКИХ МЕР ПО ОБЕСПЕЧЕНИЮ БЕЗОПАСНОСТИ ПДн ФСТЭК России Полномочия ФОИВ Государственные информационные системы персональных данных Решение Правительства РФ Определенные виды деятельности и информационные системы персональных данных не являющиеся государственными 17 ОТВЕТСТВЕННОСТЬ ЗА НАРУШЕНИЕ ПРАВИЛ ЗАЩИТЫ ИНФОРМАЦИИ В СООТВЕТСТВИИ С КОАП 18 Статья 13.12. Нарушение правил защиты информации: 2. Использование несертифицированных информационных систем, баз и банков данных, а также несертифицированных средств защиты информации, если они подлежат обязательной сертификации (за исключением средств защиты информации, составляющей государственную тайну), - влечет наложение административного штрафа на граждан в размере от 500 до 1000 рублей с конфискацией несертифицированных средств защиты информации или без таковой; на должностных лиц - от 1000 до 2000 рублей; на юридических лиц - от 10000 до 20000 рублей с конфискацией несертифицированных средств защиты информации или без таковой. 19 Управление ФСТЭК России по Сибирскому федеральному округу Руководитель Управления – КРУПИН АЛЕКСАНДР АНДРЕЕВИЧ 630091, г. Новосибирск, Красный проспект, дом 41. Тел. 8-383-203-54-07 – приемная руководителя 203-54-13 – 2 отдел Официальный сайт: www.fstec.ru