Защита персональных данных Изменение законодательства и преемственность организационно-технических решений Сафонов Сергей Александрович заместитель начальника отдела по информационной безопасности ФГБУ «Федеральный центр тестирования» 2013 г. Содержание Законодательные и нормативно – правовые документы, регламентирующие вопросы защиты персональных данных Проекты документов ФСТЭК России, регламентирующих требования о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах Нормативная база Федеральный закон от 27 июля 2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации» Федеральный закон от 27 июля 2006 г. № 152-ФЗ «О персональных данных» Постановление Правительства РФ от 01 ноября 2012 г. №1119г. «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных» Проекты Приказов ФСТЭК России «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных» и «Об утверждении требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах» Нормативная база В соответствии с Постановлением Правительства РФ от 01 ноября 2012 г. №1119г. признано утратившим силу постановление Правительства Российской Федерации от 17 ноября 2007 г. № 781 «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных». Во исполнение Постановления Правительства РФ от 01 ноября 2012 г. №1119г. ФСТЭК России подготовлены и находятся на согласовании в Минюсте: - Приказ ФСТЭК России «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных» - Приказ ФСТЭК России «Об утверждении требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах» Анализ изменений Проведенный анализ проектов нормативных документов ФСТЭК России показывает, что в целом подход к защите ПДн остается прежним, за исключением того, что выбор мер и средств защиты ИСПДн осуществляется операторами исходя из актуальности угроз и необходимости обеспечения требуемого уровня защищенности. Для ПДн, обрабатываемых в государственных информационных системах выполнение требований о защите информации является обязательным. Меры по обеспечению безопасности персональных данных в государственных информационных системах принимаются в соответствии с требованиями о защите информации, не содержащей государственную тайну, содержащейся в государственных информационных системах, устанавливаемыми ФСТЭК России в пределах своих полномочий. Типы угроз Постановление № 1119 устанавливает 4-е уровня защищенности ПДн в зависимости от типа угроз, актуальных для информационной системы Типы угроз Характеристика Угрозы 1-го типа Актуальны для информационной системы, если для нее в том числе актуальны угрозы, связанные с наличием недокументированных (недекларированных) возможностей в системном программном обеспечении, используемом в информационной системе Угрозы 2-го типа Актуальны для информационной системы, если для нее в том числе актуальны угрозы, связанные с наличием недокументированных (недекларированных) возможностей в прикладном программном обеспечении, используемом в информационной системе Угрозы 3-го типа Актуальны для информационной системы, если для нее актуальны угрозы, не связанные с наличием недокументированных (недекларированных) возможностей в системном и прикладном программном обеспечении, используемом в информационной системе Требования Постановления Правительства РФ от 27 января 2012 г. № 36 «Об утверждении правил формирования и ведения федеральной информационной системы обеспечения проведения единого государственного экзамена и приема граждан в образовательные учреждения среднего профессионального образования и образовательные учреждения высшего профессионального образования и региональных информационных систем обеспечения проведения единого государственного экзамена» Федеральная и региональные информационные системы являются государственными информационными системами. Обладателем информации, содержащейся в федеральной информационной системе, является Российская Федерация. От имени Российской Федерации правомочия обладателя информации, содержащейся в указанной системе, осуществляются Федеральной службой по надзору в сфере образования и науки Критерии классификации государственных информационных систем В соответствии с проектом Приказа ФСТЭК России «Об утверждении требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах» При обработке в государственной информационной системе информации, содержащей персональные данные, для обеспечения первого уровня защищенности персональных данных, установленного в соответствии с Требованиями к защите персональных при их обработке в информационных системах персональных данных, утвержденными постановлением Правительства Российской Федерации от 1 ноября 2012 г. № 1119, государственной информационной системе не может быть присвоен класс защищенности ниже чем К1. Для второго уровня - ниже чем К2. Для третьего уровня - ниже чем К3. Для четвертого уровня - К4 или боле высокий. Требования к системе защиты ПДн в государственных информационных системах Система защиты включает следующие меры защиты информации: - обеспечение доверенной загрузки; - идентификацию и аутентификацию субъектов доступа и объектов доступа; - управление доступом субъектов доступа к объектам доступа; - ограничение программной среды; - защиту машинных носителей информации; - регистрацию событий безопасности; - обеспечение целостности информационной системы и информации; - защиту среды виртуализации; - защиту технических средств; - защиту информационной системы, ее средств и систем связи и передачи данных. Выводы Концепция защиты информации (ПДн) ФИС ЕГЭ и приема не изменилась Региональные информационные системы взаимодействуют с ФИС по прежней схеме с обеспечением выполнения требований по информационной безопасности Спасибо за внимание ! Федеральное государственное бюджетное учреждение «Федеральный центр тестирования» Юридический и почтовый адрес: 119049, Москва, Ленинский проспект, д. 2а +7 (495) 530-10-00 секретариат [email protected] www.rustest.ru