Слайд 1ЗАЩИТА
ПЕРСОНАЛЬНЫХ
ДАННЫХ
MELKIN VADIM 20501.110
Слайд 2ЗНАЧЕНИЕ
Персональные данные – информация по которой можно однозначно идентифицировать человека,
который в свою очередь является субъектом персональных данных
Слайд 3А НАДО ЛИ?
Необходимость обеспечения безопасности персональных данных в наше время
объективная реальность. Информация о человеке всегда имела большую ценность, но
сегодня она превратилась в самый дорогой товар. Информация в руках мошенника превращается в орудие преступления, в руках уволенного сотрудника – в средство мщения, в руках инсайдера – товар для продажи конкуренту… Именно поэтому персональные данные нуждаются в самой серьезной защите.
Слайд 4В БИЗНЕСЕ
Сегодня вряд ли можно представить деятельность организации без обработки
информации о человеке. В любом случае организация хранит и обрабатывает
данные о сотрудниках, клиентах, партнерах, поставщиках и других физических лицах. Утечка, потеря или несанкционированное изменение персональных данных приводит к невосполнимому ущербу, а порой и к полной остановке деятельности организации. Представьте себе работу кредитно-финансовой или телекоммуникационной компании, которая потеряла хотя бы часть информации о своих клиентах, врятли такая компания долго продержится на рынке.
Слайд 5 ЗАКОН
В 1981 году Совет Европы принял Конвенцию «О защите
личности в связи с автоматической обработкой персональных данных». 25 ноября
2005 г. Государственная Дума ратифицировала данную Конвенцию (ФЗ от 19.12.2005 № 160-ФЗ «О ратификации Конвенции Совета Европы о защите физических лиц при автоматической обработке персональных данных»), возложив на Российскую Федерацию обязательства по приведению в соответствие с нормами европейского законодательства деятельность в области защиты прав субъектов ПДн. Первым шагом в реализации взятых обязательств стало принятие Федерального закона № 152-ФЗ от 27.07.2006 г. «О персональных данных». Закон вступил в силу в январе 2007 года.
Слайд 6Закон № 152-ФЗ определил высокоуровневые требования, которые затем были конкретизированы
в подзаконных актах Правительства РФ и Министерства связи, нормативно-методических документах
регуляторов Федеральной службы по техническому и экспортному контролю (ФСТЭК России), Федеральной службы безопасности Российской Федерации (ФСБ России) и Федеральной службы по надзору в сфере связи и массовых коммуникаций (Роскомнадзор).
Каждый из этих актов и документов посвящен отдельным областям и тематикам законодательства и будет раскрываться в дальнейшем по ходу изложения материала. Целью российского законодательства в области ЗПД является обеспечение защиты прав и свобод гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну. Законодательством регулируются отношения, связанные с обработкой ПДн, осуществляемой государственными органами власти, органами местного самоуправления, юридическими лицами и физическими лицами.
Слайд 7Состав и содержание персональных данных
Состав и содержание персональных данных определяют
операторы ПДн в зависимости от целей их обработки. Например, перечень
персональных данных для популярных в последнее время систем лояльности клиентов компании, как правило, включают контактные данные, необходимые для связи с клиентами, и сведения о предоставленных услугах. Состав этих сведений не должен быть избыточен при этом оставаясь достаточным, чтобы «понимать» предпочтения клиента, его финансовые возможности, «отслеживать» его покупательскую историю и т.п.
Слайд 8Отличие российского и международного законодательства
США, Великобритания и Канада, так
же как и Россия, разработали технические регламенты, которые транслируют положения
законодательства верхнего уровня в конкретные советы и рекомендации по защите персональных данных. В Великобритании в 1998 году был принят «Закон о защите персональных данных» – «Data Protection Act 1998». Его техническая реализация – проект стандарта «Specification for the management of personal information in compliance with the Data Protection Act 1998» (BS 10012). Параллельно с англичанами свою версию стандарта по безопасности ПДн выпустили в США. Проект документа по защите персональных данных для американских государственных структур – «Guide to Protecting the Confidentiality of Personally Identifiable Information (PII)» (SP 800122) регламентирует выполнение Законов «The Privacy Act of 1974» и «Privacy Protection Act of 1980». Канада выпустила «Privacy Code» – набор документов для реализации законодательства по защите сведений о частных лицах (The Privacy Act и PIPEDA).
Слайд 9Канадский, английский и американский стандарты, в отличие от документов российских
регуляторов, дают более общие рекомендации по обеспечению безопасности ПДн и
не предписывают, как конкретно должны защищаться персональные данные. Более того, тот же американский стандарт рекомендует по возможности обезличивать персональные данные, чтобы уйти от различных защитных мер, снижающих удобство пользования информацией.
Слайд 10РЕКОМЕНДАЦИИ ПО ОБЕСПЕЧЕНИЮ БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ ПРИ ИХ ОБРАБОТКЕ В
ИНФОРМАЦИОННЫХ СИСТЕМАХ ПЕРСОНАЛЬНЫХ ДАННЫХ
Определяются следующие категории обрабатываемых в информационной
системе персональных данных (ХПД):
категория 1 – персональные данные, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных и философских убеждений, состояния здоровья, интимной жизни;
категория 2 – персональные данные, позволяющие идентифицировать субъекта персональных данных и получить о нем дополнительную информацию, за исключением персональных данных, относящихся к категории 1;
категория 3 – персональные данные, позволяющие идентифицировать субъекта персональных данных (данные обрабатываемые в автоматизированных системах);
категория 4 – обезличенные и (или) общедоступные персональные данные.
Слайд 11За объем обрабатываемых персональных данных (количество субъектов персональных данных, персональные
данные которых обрабатываются в информационной системе) примем – ХНПД
ХНПД
может принимать следующие значения:
1 – в информационной системе одновременно обрабатываются персональные данные более чем 100 000 субъектов ПДн или персональные данные субъектов ПДн в пределах субъекта Российской Федерации или Российской Федерации в целом;
2 – в информационной системе одновременно обрабатываются персональные данные от 1000 до 100 000 субъектов ПДн или персональные данные субъектов ПДн, работающих в отрасли экономики Российской Федерации, в органе государственной власти, проживающих в пределах муниципального образования;
3 – в информационной системе одновременно обрабатываются персональные данные менее чем 1000 субъектов ПДн или персональные данные субъектов ПДн в пределах конкретной организации.
Слайд 12Класс информационной системы определяется в соответствии с таблицей
Слайд 13класс 1 (К1) – информационные системы, для которых нарушение заданной характеристики безопасности персональных данных,
обрабатываемых в них, может привести к значительным негативным последствиям для
субъектов ПДн;
класс 2 (К2) – информационные системы, для которых нарушение заданной характеристики безопасности персональных данных, обрабатываемых в них, может привести к негативным последствиям для субъектов ПДн;
класс 3 (К3) – информационные системы, для которых нарушение заданной характеристики безопасности персональных данных, обрабатываемых в них, может привести к незначительным негативным последствиям для субъектов ПДн;
класс 4 (К4) – информационные системы, для которых нарушение заданной характеристики безопасности персональных данных, обрабатываемых в них, не приводит к негативным последствиям для субъектов ПДн.
Слайд 14ДАЛЕЕ
Применительно к специальным информационным системам после определения класса системы оператором
должна быть разработана модель угроз безопасности персональных данных с использованием
методических документов, разрабатываемых в соответствии с пунктом 2 постановления Правительства Российской Федерации от 17 ноября 2007 г. № 781 «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных», и проведена оценка актуальности угроз.
Слайд 15В целом обеспечение безопасности ПДн при их обработке в ИСПДн
достигается реализацией совокупности организационных и технических мер, причем в интересах
обеспечения безопасности ПДн в обязательном порядке подлежат защите технические и программные средства, используемые при обработке ПДн, и носители информации. При организации и осуществлении защиты ПДн необходимо руководствоваться требованиями нормативных и методических документов по защите информации в автоматизированных системах, учитывая при этом, что ПДн, в соответствии с Федеральным законом от 27 июля 2006 г. № 152 «О персональных данных», отнесены к информации ограниченного доступа.
Слайд 16Порядок организации обеспечения безопасности ПДн в ИСПДн должен предусматривать:
-оценку обстановки;
-обоснование
требований по обеспечению безопасности ПДн и формулирование задач защиты ПДн;
-разработку
замысла обеспечения безопасности ПДн;
-выбор целесообразных способов (мер и средств) защиты ПДн в соответствии с задачами и замыслом защиты;
-решение вопросов управления обеспечением безопасности ПДн в динамике изменения обстановки и контроля эффективности защиты;
-обеспечение реализации принятого замысла защиты;
-планирование мероприятий по защите ПДн;
-организацию и проведение работ по созданию системы защиты персональных данных (СЗПДн) в рамках разработки (модернизации) ИСПДн, в том числе с привлечением специализированных сторонних организаций к разработке и развертыванию СЗПДн или ее элементов в ИСПДн, а также решение основных задач взаимодействия, определение их задач и функций на различных стадиях создания и эксплуатации ИСПДн;
-разработку документов, регламентирующих вопросы организации обеспечения безопасности ПДн и эксплуатации СЗПДн в ИСПДн;
-развертывание и ввод в опытную эксплуатацию СЗПДн в ИСПДн;
доработку СЗПДн по результатам опытной эксплуатации.
Слайд 19Ответственность за нарушение закона «О персональных данных»
Законом предусмотрена гражданская, уголовная,
административная, дисциплинарная и иная ответственность за нарушение его требований. Так,
Кодекс об административных правонарушениях предусматривает максимальный штраф в 500000 рублей за невыполнение законного предписания Роскомнадзора (ст. 19.5 КоАП). Тот
же Кодекс предусматривает приостановку деятельности организации на срок до 90 суток при осуществлении деятельности по защите персональных данных без лицензии (ст. 19.20 КоАП).
В уголовном кодексе говорится о штрафе в 300000 руб., обязательных работах на срок до 1-го года, аресте до 6-ти месяцев и лишении права занимать должность на срок до 5-ти лет в случае осуществления защиты персональных данных без лицензии в случаях, если это деяние причинило крупный ущерб гражданам (ст. 171 УК).
При систематических и грубых нарушениях Роскомнадзор имеет право ходатайствовать об отзыве лицензий на основной вид деятельности.
Слайд 20Программные варианты защиты персональных данных
Виды:
1 Антивирус
2 Межсетевой экран
3 Системы DLP
Слайд 211 Антивирус
Антивирусная программа (антивирус) — специализированная программа для обнаружения компьютерных вирусов, а также нежелательных
(считающихся вредоносными) программ вообще и восстановления заражённых (модифицированных) такими программами файлов,
а также для профилактики — предотвращения заражения (модификации) файлов или операционной системы вредоносным кодом.
Слайд 22Межсетевой экран
Межсетевой экран или сетевой экран — комплекс аппаратных или программных средств, осуществляющий
контроль и фильтрацию проходящих через него сетевых пакетов в соответствии
с заданными правилами.
Основной задачей сетевого экрана является защита компьютерных сетей или отдельных узлов от несанкционированного доступа. Также сетевые экраны часто называют фильтрами, так как их основная задача — не пропускать (фильтровать) пакеты, не подходящие под критерии, определённые в конфигурации.
Некоторые сетевые экраны также позволяют осуществлять трансляцию адресов — динамическую замену внутрисетевых (серых) адресов или портов на внешние, используемые за пределами ЛВС.
Слайд 23Системы DLP
Предотвращение утечек (англ. Data Loss Prevention, DLP) — технологии предотвращения утечек конфиденциальной информации из информационной системы вовне,
а также технические устройства (программные или программно-аппаратные) для такого предотвращения утечек.
DLP-системы
строятся на анализе потоков данных, пересекающих периметр защищаемой информационной системы. При детектировании в этом потоке конфиденциальной информации срабатывает активная компонента системы, и передача сообщения (пакета, потока, сессии) блокируется.
Слайд 24Вопросы
1 Что такое ПДн?
2 Надо ли защищать?
3 Как защищать?
Слайд 25Источники
1 Лекции: КСЗИ преподавателя Пацюк А.Д.
2 Wikipedia
3 Материал, предоставленный преподавателем