Оптимизация информационной системы под задачи защиты

информации конфиденциального характера

10 ноября 2010

1

Нормативная база РФ

Законы

2

Что нас ожидает

На 2011 год запланирован тендер на национальную операционную систему

3

Методика определения актуальных угроз*

Методичес-кие рекоменда-ции *

Базовая модель угроз безопасности персональных данных* (ДСП)

Приказ от 5 февраля 2010 г. N 58

Текущая ситуация в области защиты ПДн

4

Постановление Правительства РФ от 15 сентября 2008 г. № 687 «Об утверждении положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»

Постановление Правительства РФ от 17 ноября 2007 г. № 781«Об утверждении положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных»

Постановление Правительства РФ от 15 мая 2010 г. № 330 (ДСП)«Об особенностях оценки соответствия продукции (работ, услуг), используемой в целях защиты сведений, относимых к охраняемой в соответствии с законодательством Российской Федерации информации ограниченного доступа, не содержащей сведения, составляющие государственную тайну, а также процессов ее проектирования (включая изыскания), производства, строительства, монтажа, наладки, эксплуатации, хранения, перевозки, реализации, утилизации и захоронения, об особенностях аккредитации органов по сертификации и испытательных лабораторий (центров), выполняющих работы по подтверждению соответствия указанной продукции (работ, услуг)»

Приказ ФСТЭК России, ФСБ России, Мининформсвязи России от 13 февраля 2008 г. № 55/86/20«Об утверждении Порядка проведения классификации информационных систем персональных данных»

Методические документы ФСТЭК Методические документы ФСБ

(*) Методические документы ФСТЭК и ФСБ не прошли регистрацию в Минюсте и являются рекомендательными

Типовые требования*

Постановление Правительства РФ от 6 июля 2008 г. № 512«Об утверждении требований к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных»

Особенности для банковской сферы

5

№01-23/3148 от 28.06.2010 (Письмо шести)

Комплекс БР ИББС

СТО БР ИББС-1.0-2010

Четвертая редакция стандарта Банка России отраслевого применения СТО БР ИББС-1.0-2010 "Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения"

СТО БР ИББС-1.2-2010

Третья редакция стандарта Банка России отраслевого применения СТО БР ИББС-1.2-2010 "Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Методика оценки соответствия информационной безопасности организаций банковской системы Российской Федерации требованиям СТО БР ИББС-1.0"

РС БР ИББС-2.4

Рекомендации в области стандартизации Банка России «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Отраслевая частная модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных организаций банковской системы Российской Федерации»

РС БР ИББС-2.3 Рекомендации в области стандартизации Банка России «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Требования по обеспечению безопасности персональных данных в информационных системах персональных данных организаций банковской системы Российской Федерации»

Методические рекомендации по выполнению законодательных требований при обработке персональных данных в организациях БС РФ, разработанные совместно Банком России, АРБ и Ассоциацией региональных банков России (Ассоциацией «Россия»)

Иные отрасли

6

Операторы связи – НИР «Тритон»НАУФОР – планирует до конца года разработать стандарт по защите персональных данных для профессиональных участников фондового рынкаАссоциация консультантов по персоналу (АККП) – приступила к разработке отраслевого стандартаСтраховщики, металлурги, и другие также планируют отраслевые стандарты

7

Профессиональная тайна

Федеральный закон Российской Федерации от 27 июля 2006 года № 149-ФЗ «Об информации, информационных технологиях и защите информации»Статья 9. Ограничение доступа к информации5. Информация, полученная гражданами (физическими лицами) при исполнении ими профессиональных обязанностей или организациями при осуществлении ими определенных видов деятельности (профессиональная тайна), подлежит защите в случаях, если на эти лица федеральными законами возложены обязанности по соблюдению конфиденциальности такой информации. 6. Информация, составляющая профессиональную тайну, может быть предоставлена третьим лицам в соответствии с федеральными законами и (или) по решению суда. 7. Срок исполнения обязанностей по соблюдению конфиденциальности информации, составляющей профессиональную тайну, может быть ограничен только с согласия гражданина (физического лица), предоставившего такую информацию о себе.

8

Информационные ресурсы конфиденциального

характера

Информационные ресурсы конфиденциального характера могут выглядеть примерно так:

Коммерческая или служебная тайна

Профессиональная тайна

Персональные данные

Пример требованийФСТЭК

9

Руководящий документ. Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации

2.5. Требования к классу защищенности 3Б: подсистема управления доступом:должна осуществляться идентификация и проверка подлинности субъектов доступа при входе в систему по паролю условно-постоянного действия, длиной не менее шести символов. подсистема регистрации и учета:должна осуществляться регистрация входа/выхода субъектов доступа в систему/из системы, либо регистрация загрузки и инициализации операционной системы и ее программного останова.Регистрация выхода из системы или останов не проводится в моменты аппаратурного отключения АС. В параметрах регистрацииуказываются: …

Приказ от 5 февраля 2010 г. N 58

2.1. Для информационных систем 3 класса при однопользовательском режиме обработки персональных данных применяются следующие основные методы и способы защиты информации:а) управление доступом:идентификация и проверка подлинности пользователя при входе в систему информационной системы по паролю условно-постоянного действия длиной не менее шести буквенно-цифровых символов;б) регистрация и учет:регистрация входа (выхода) пользователя в систему (из системы) либо регистрация загрузки и инициализации операционной системы и ее программного останова. Регистрация выхода из системы или останова не проводится в моменты аппаратурного отключения информационной системы. В параметрах регистрации указываются ….

Примерное соответствие классов ИСПДн и АС ЗИ

Класс ИСПДн Однопользовательская

Многопользовательская с одинаковым уровнем доступа

Многопользовательская с разным уровнем доступа

К3 3Б 2Б 1Д

К2 3Б 2Б 1Д

К1 3Б (усиленная) 2Б (усиленная) 1Г

10

Различия между классами ИСПДн К3 и К2 только в требованиях к межсетевому экранированию

Передача ПДн на примере кадровой

подсистемы

11

ФНС ФОМС ПФР

Иные гос. органы

Роспотребнадзор ФСС МО РФ Росстат

12

Статья 19. Меры по обеспечению безопасности персональных данных при их обработке 1. Оператор при обработке персональных данных обязан принимать необходимые организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных, а также от иных неправомерных действий.Статья 3. Основные понятия, используемые в настоящем Федеральном законе

В целях настоящего Федерального закона используются следующие основные понятия: 2) оператор - государственный орган, муниципальный орган, юридическое или физическое лицо, организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели и содержание обработки персональных данных;

Токаренко Александр Владимирович

13