Меры по обеспечению информационной безопасности в учреждении

1. Меры по обеспечению информационной безопасности в учреждении

МЕРЫ ПО ОБЕСПЕЧЕНИЮ
ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
В УЧРЕЖДЕНИИ
Отдел информационной безопасности

2.

Информация
Деньги
Еда

3. Причины утечек информации

Не установлено
12%
Преднамеренные
46%
42%
Случайные
Компания InfoWatch

4. Пути утечек информации

Бумажный
документ
@почта,
факс
ПК или
сервер
5%
3%
Архивный носитель
3%
2%
Другое
8%
33%
Сеть (кроме @)
Мобильные
носители
информации
Не установлено
21%
19%
6%
Ноутбуки
Компания InfoWatch

5. Распределение по типу конфиденциальности информации

Коммерческая тайна,
1% ноу-хау
Государственная
1%
тайна 1%
Не установлено
Персональные
данные
97%
Компания InfoWatch

6. Организационно-правовые основы защиты персональных данных

Федеральный Закон № 152-ФЗ
«О персональных данных»
27 июля 2006 г.
защита прав и свобод человека при
обработке его персональных данных

7. Что означает термин «персональные данные»?

«К конфиденциальной информации относятся: сведения о фактах,
событиях и обстоятельствах частной жизни гражданина, позволяющие
идентифицировать его личность (персональные данные), за
исключением сведений, подлежащих распространению в средствах
массовой информации в установленных федеральными законами случаях»
Из «Перечня сведений конфиденциального характера»,
утвержденного указом Президента РФ № 188 от 6 марта 1997 г.
«любая информация, относящаяся к определенному или определяемому
на основании такой информации физическому лицу (субъекту
персональных данных), в том числе его фамилия, имя, отчество, год,
месяц, дата и место рождения, адрес, семейное, социальное,
имущественное положение, образование, профессия, доходы, другая
информация»
Из 152-ФЗ от 27 июля 2006 г.

8. С чего начать защиту, и нужна ли она вообще?

«Конфиденциальность персональных данных —
обязательное для соблюдения оператором или иным получившим
доступ к персональным данным лицом требование не допускать их
распространение без согласия субъекта персональных данных или
наличия иного законного основания» (152-ФЗ).

9. С чего начать защиту, и нужна ли она вообще?

«Оператор — государственный орган, муниципальный орган,
юридическое или физическое лицо, организующие и(или)
осуществляющие обработку персональных данных, а также
определяющие цели и содержание обработки персональных данных»
(152-ФЗ).

10. С чего начать защиту, и нужна ли она вообще?

«Информационная система персональных данных (ИСПДн) —
информационная система, представляющая собой совокупность
персональных данных, содержащихся в базе данных, а также
информационных технологий и технических средств, позволяющих
осуществлять обработку таких персональных данных с
использованием средств автоматизации или без использования таких
средств» (152-ФЗ).
База данных

11. С чего начать защиту, и нужна ли она вообще?

«Обработка персональных данных — это действия (операции) с
ПДн, включая сбор, систематизацию, накопление, хранение, уточнение
(обновление, изменение), использование, распространение (в том числе
передачу), обезличивание, блокирование, уничтожение персональных
данных» (152-ФЗ).

12. Классификация информационной системы персональных данных

Порядок классификации определен приказом ФСТЭК России, ФСБ
России и Мининформсвязи России № 55/86/20 от 13 февраля 2008 г.
категория обрабатываемых персональных данных;
объем обрабатываемых персональных данных;
тип информационной системы;
структура информационной системы и местоположение ее
технических средств;
режимы обработки персональных данных;
режимы разграничения прав доступа пользователей;
наличие подключений к сетям общего пользования и(или) сетям
международного информационного обмена.

13. Классификация информационной системы персональных данных

класс 1 (К1)
• информационные системы, для которых
нарушение заданной характеристики
безопасности персональных данных,
обрабатываемых в них, может привести к
значительным негативным последствиям
для субъектов персональных данных
класс 2 (К2)
• (…) может привести к негативным
последствиям для субъектов ПДн
класс 3 (К3)
• (…) может привести к незначительным
негативным последствиям для субъектов
ПДн
класс 4 (К4)
• (…) не приводит к негативным
последствиям для субъектов ПДн
Приказ ФСТЭК России, ФСБ России и Мининформсвязи России № 55/86/20 от 13 февраля 2008 г.

14. Согласие субъекта ПДн на обработку

фамилию, имя, отчество, адрес субъекта персональных
данных, номер основного документа, удостоверяющего его
личность, сведения о дате выдачи указанного документа и
выдавшем его органе;
наименование (фамилию, имя, отчество) и адрес оператора,
получающего согласие субъекта персональных данных;
цель обработки персональных данных;
перечень персональных данных, на обработку которых
дается согласие субъекта персональных данных;
перечень действий с персональными данными, на
совершение которых дается согласие, общее описание
используемых оператором способов обработки
персональных данных;
срок, в течение которого действует согласие, а также
порядок его отзыва.
Статья 9 152-ФЗ

15. Общедоступные персональные данные

— «персональные данные, доступ неограниченного круга лиц к
которым предоставлен с согласия субъекта персональных данных или
на которые в соответствии с ФЗ не распространяется требование
соблюдения конфиденциальности» (152-ФЗ).
В общедоступные источники персональных данных с письменного
согласия субъекта персональных данных могут включаться его
фамилия, имя, отчество, год и место рождения, адрес, абонентский
номер, сведения о профессии и иные персональные данные,
сообщаемые субъектом персональных данных. (в ред. Федерального
закона от 25.07.2011 N 261-ФЗ)

16. Специальные категории персональных данных

расовая принадлежность
национальная принадлежность
политические взгляды
религиозные или философские убеждения
состояние здоровья
состояние интимной жизни
биометрические ПДн
Условия обработки:
согласие субъекта в письменной форме
ПДн являются общедоступными
Статья 10 152-ФЗ

17. Обеспечение безопасности ПДн при их обработке

«Оператор при обработке персональных данных обязан принимать
необходимые организационные и технические меры для защиты
персональных данных от неправомерного или случайного доступа к ним,
уничтожения, изменения, блокирования, копирования, распространения
персональных данных, а также от иных неправомерных действий»
(Статья 19, 152-ФЗ)

18. Способы обеспечения безопасности

Организационные меры
Технические средства защиты

19. Обеспечение безопасности ПДн при их обработке

Мероприятия по защите информации трудоемки и могут привести к
значительным финансовым затратам, что обусловлено
необходимостью:
получать (по необходимости) лицензию на деятельность по
технической защите конфиденциальной информации ФСТЭК России;
привлекать лицензиата ФСТЭК России для осуществления
мероприятий по созданию системы защиты ИСПДн и/или ее
аттестации по требованиям безопасности информации;
отправлять сотрудников, ответственных за обеспечение безопасности
информации, на курсы повышения квалификации по вопросам
защиты информации и/или нанимать специалистов по защите
информации;
устанавливать сертифицированные по требованиям ФСТЭК средства
защиты информации (СрЗИ), сертифицированные ФСБ средства
криптографической защиты информации (СКЗИ) в зависимости от
класса ИСПДн.

20. Источники угроз несанкционированного доступа (НСД)

Источники угроз НСД
нарушители
внешние
по наличию
прав доступа
внутренние
носитель
вредоносной
программы
аппаратная
закладка