Спонсор: Microsoft
Опубликован: 25.06.2010 | Доступ: свободный | Студентов: 1514 / 229 | Оценка: 4.32 / 4.18 | Длительность: 25:57:00
Лекция 20:

Организационно-правовые аспекты защиты информации

Защита персональных данных в соответствии с требованиями Федерального закона "О персональных данных"

В настоящее время проблема защиты персональных данных является одной из наиболее актуальных для многих российских организаций, как государственных, так и коммерческих. Это обусловлено тем, что 26 января 2007 года вступил в силу Федеральный закон "О персональных данных", в котором сформулированы требования по защите персональных данных. Необходимо отметить, что требования данного закона являются обязательными как для коммерческих, так и государственных организаций. При этом согласно статье 25, информационные системы должны быть приведены в соответствие с требованиями настоящего Федерального закона не позднее 1 января 2010 года.

Далее в лекции рассматриваются основные положения закона "О персональных данных", а также подходы к приведению информационных систем в соответствии с требованиями по защите персональных данных.

Процесс создания системы защиты персональных данных

Для создания и внедрения системы защиты персональных данных необходимо реализовать комплекс мероприятий, который, как правило, включает в себя следующие основные этапы работ:

  • проведение обследования с целью определения степени оценки соответствия компании требованиям Федерального закона "О персональных данных";
  • классификация информационных систем, обрабатывающие персональные данные;
  • разработка модели угроз безопасности персональных данных и модели нарушителя;
  • проектирование системы защиты в составе информационной системы, обрабатывающей персональные данные;
  • разработка пакета организационно-распорядительной документации;
  • внедрение системы защиты персональных данных;
  • аттестация информационной системы, обрабатывающей персональных данных.

Процедура обследования информационных систем, обрабатывающих персональные данные (ИСПДн) включает следующие работы:

  • анализ внутренних нормативных документов, регламентирующих порядок обработки и защиты персональные данные (ПДн);
  • определение используемых средств защиты ПДн, и оценка их соответствия требованиям нормативных документов РФ;
  • определение перечня ПДн, подлежащих защите;
  • определение перечня ИСПДн, обрабатывающих ПДн;
  • определение степени участия персонала в обработке ПДн, характера взаимодействия персонала между собой.

По результатам обследования формируется отчет, в котором содержится описание текущего состояния защиты ПДн, а также рекомендации по устранению выявленных недостатков и нарушений.

На втором этапе работ на основе информации, собранной на этапе обследования, проведена классификация ИСПДн. Классификация проводится в соответствии с порядком проведения классификации, описанным в приказе Федеральной службы по техническому и экспортному контролю (ФСТЭК), Федеральной службы безопасности (ФСБ) и Министерства информационных технологий и связи РФ от 13 февраля 2008 г. № 55/86/20. Результаты классификации ИСПДн оформляются соответствующим актом подписываемым руководителем предприятия.

Информационные системы, обрабатывающие персональные данные, классифицируются по уровням защищенности в зависимости от важности обрабатываемых ПДн, которая зависит от вида и степени ущерба субъекту ПДн, возникающего вследствие реализации угроз безопасности. ИСПДн могут относиться к классу типовых или специальных. К типовым ИСПДн относятся системы, в которых требуется обеспечение только конфиденциальности персональных данных. Специальные ИСПДн - системы, в которых вне зависимости от необходимости обеспечения конфиденциальности требуется обеспечить хотя бы одну из характеристик безопасности персональных данных, отличную от конфиденциальности (защищенность от уничтожения, изменения, блокирования, а также иных несанкционированных действий). Для типовых ИСПДн определёно четыре возможных класса: К1, К2, К3 и К4. В зависимости от класса типовой ИСПДн определяются соответствующие требования по защите персональных данных.

На следующем этапе разрабатывается модель угроз безопасности ПДн в ИСПДн организации. Модель угроз безопасности определяется на основе перечня угроз безопасности персональных данных при их обработке в ИСПДн, который содержится в "Базовой модели угроз безопасности ПДн при их обработке в ИСПДн", определённой ФСТЭК. При необходимости применения средств криптографических защиты разрабатывается Модель нарушителя в соответствии с нормативными документами ФСБ России. Именно модель угроз и модель нарушителя являются базовыми документами для дальнейшего проектирования системы защиты персональных данных (СЗПДн).

В рамках проектирования СЗПДн выполняются следующие работы: разработка технического задания, макетирование и стендовые испытания средств защиты информации, а также создание технического проекта.

Техническое задание, как правило, содержит следующие разделы:

  • обоснование разработки СЗПДн;
  • исходные данные создаваемой ИСПДн в техническом, программном, информационном и организационном аспектах;
  • класс ИСПДн;
  • ссылку на нормативные документы, с учетом которых будет разрабатываться СЗПДн и приниматься в эксплуатацию ИСПДн;
  • мероприятия и требования к СЗПДн, которые определяются в соответствии с классом и типом ИСПДн на основе методических документов ФСТЭК России;
  • перечень предполагаемых к использованию сертифицированных средств защиты информации;
  • состав, содержание и сроки проведения работ по этапам разработки и внедрения СЗПДн.

Далее с учетом исходных данных, полученных на этапе обследования ИСПДн, а также требований, определенных Техническим заданием, проводится анализ применимости, совместимости и внедряемости средств защиты информации в ИСПДн организации. В результате определяется состав средств защиты, удовлетворяющий требованиям по защите ПДн, а также позволяющий реализовать мероприятия по созданию СЗПДн.

На основе технического задания и результатов стендовых испытаний средств защиты информации осуществляется разработка технического проекта, которые содержит детальное описание конкретных программно-технических решений, которые будут использоваться для создания СЗПДн.

В процессе проектирования также осуществляется разработка пакета эксплуатационной и организационно-распорядительной документации, регламентирующей порядок обеспечения безопасности ПДн в организации.

На завершающем этапе проводится разработка проектов документов, необходимых для выполнения аттестационных испытаний. В рамках этапа также осуществляется проведение самих испытаний, а также оформление Аттестата соответствия. Необходимо отметить, что аттестация требуется только для систем класса К1 и К2.

Работы по созданию системы защиты персональных данных могут выполняться силами кредитно-финансовой организации, либо при помощи компаний, специализирующихся на оказании такого рода услуг. В соответствии с положениями Федерального закона от 8 августа 2001 г. № 128 "О лицензировании отдельных видов деятельности" и требованиями постановления Правительства Российской Федерации от 16 августа 2006 г. № 504 "О лицензировании деятельности по технической защите конфиденциальной информации" организации для проведения мероприятий по обеспечению безопасности ПДн при их обработке в ИСПДн классов К1 и К2 и в распределенных информационных системах класса К3 должны получить лицензию ФСТЭК на осуществление деятельности по технической защите конфиденциальной информации.

Роман Попов
Роман Попов

После прохождения курса Стандарты инфрмационной безопасности мне предложено получение Удостоверения о повышении квалификации от НИУ ВШЭ по программе Менеджмент информационной безопасности. Программа включает в себя ряд курсов которые я уже ранее проходил. Какой порядок действий в данном случае? Как прозводится перезачет результатов? И какие экщамены мне надо еще доздать чтобы получить удостоверение?

Андрей Осипов
Андрей Осипов

Здравствуйте! Хотелось бы прояснить следующий вопрос: у МТИ приостановлена государственная аккредитация и когда будет восстановлена- неизвестно, а в диплом о профпереподготовке выдается на базе МТИ (как я понял). Как будет обстоять дело с получением диплома?

Вопрос важный и актуальный, потому что необходимо срочно пройти обучение и получить диплом и не хотелось бы тратить время и платить деньги зря (если диплом окажется недействительным и т.п.). Разъясните, пожалуйста, подробнее ситуацию.

Сергей Мясников
Сергей Мясников
Россия
Владимир Гнинюк
Владимир Гнинюк
Украина, Киев