Меры по обеспечению информационной безопасности в учреждении
Причины утечек информации
Пути утечек информации
Распределение по типу конфиденциальности информации
Организационно-правовые основы защиты персональных данных
Что означает термин «персональные данные»?
С чего начать защиту, и нужна ли она вообще?
С чего начать защиту, и нужна ли она вообще?
С чего начать защиту, и нужна ли она вообще?
С чего начать защиту, и нужна ли она вообще?
Классификация информационной системы персональных данных
Классификация информационной системы персональных данных
Согласие субъекта ПДн на обработку
Общедоступные персональные данные
Специальные категории персональных данных
Обеспечение безопасности ПДн при их обработке
Способы обеспечения безопасности
Обеспечение безопасности ПДн при их обработке
Источники угроз несанкционированного доступа (НСД)
751.88K
Категории: ИнформатикаИнформатика ПравоПраво

Меры по обеспечению информационной безопасности в учреждении

1. Меры по обеспечению информационной безопасности в учреждении

МЕРЫ ПО ОБЕСПЕЧЕНИЮ
ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
В УЧРЕЖДЕНИИ
Отдел информационной безопасности

2.

Информация
Деньги
Еда

3. Причины утечек информации

Не установлено
12%
Преднамеренные
46%
42%
Случайные
Компания InfoWatch

4. Пути утечек информации

Бумажный
документ
@почта,
факс
ПК или
сервер
5%
3%
Архивный носитель
3%
2%
Другое
8%
33%
Сеть (кроме @)
Мобильные
носители
информации
Не установлено
21%
19%
6%
Ноутбуки
Компания InfoWatch

5. Распределение по типу конфиденциальности информации

Коммерческая тайна,
1% ноу-хау
Государственная
1%
тайна 1%
Не установлено
Персональные
данные
97%
Компания InfoWatch

6. Организационно-правовые основы защиты персональных данных

Федеральный Закон № 152-ФЗ
«О персональных данных»
27 июля 2006 г.
защита прав и свобод человека при
обработке его персональных данных

7. Что означает термин «персональные данные»?

«К конфиденциальной информации относятся: сведения о фактах,
событиях и обстоятельствах частной жизни гражданина, позволяющие
идентифицировать его личность (персональные данные), за
исключением сведений, подлежащих распространению в средствах
массовой информации в установленных федеральными законами случаях»
Из «Перечня сведений конфиденциального характера»,
утвержденного указом Президента РФ № 188 от 6 марта 1997 г.
«любая информация, относящаяся к определенному или определяемому
на основании такой информации физическому лицу (субъекту
персональных данных), в том числе его фамилия, имя, отчество, год,
месяц, дата и место рождения, адрес, семейное, социальное,
имущественное положение, образование, профессия, доходы, другая
информация»
Из 152-ФЗ от 27 июля 2006 г.

8. С чего начать защиту, и нужна ли она вообще?

«Конфиденциальность персональных данных —
обязательное для соблюдения оператором или иным получившим
доступ к персональным данным лицом требование не допускать их
распространение без согласия субъекта персональных данных или
наличия иного законного основания» (152-ФЗ).

9. С чего начать защиту, и нужна ли она вообще?

«Оператор — государственный орган, муниципальный орган,
юридическое или физическое лицо, организующие и(или)
осуществляющие обработку персональных данных, а также
определяющие цели и содержание обработки персональных данных»
(152-ФЗ).

10. С чего начать защиту, и нужна ли она вообще?

«Информационная система персональных данных (ИСПДн) —
информационная система, представляющая собой совокупность
персональных данных, содержащихся в базе данных, а также
информационных технологий и технических средств, позволяющих
осуществлять обработку таких персональных данных с
использованием средств автоматизации или без использования таких
средств» (152-ФЗ).
База данных

11. С чего начать защиту, и нужна ли она вообще?

«Обработка персональных данных — это действия (операции) с
ПДн, включая сбор, систематизацию, накопление, хранение, уточнение
(обновление, изменение), использование, распространение (в том числе
передачу), обезличивание, блокирование, уничтожение персональных
данных» (152-ФЗ).

12. Классификация информационной системы персональных данных

Порядок классификации определен приказом ФСТЭК России, ФСБ
России и Мининформсвязи России № 55/86/20 от 13 февраля 2008 г.
категория обрабатываемых персональных данных;
объем обрабатываемых персональных данных;
тип информационной системы;
структура информационной системы и местоположение ее
технических средств;
режимы обработки персональных данных;
режимы разграничения прав доступа пользователей;
наличие подключений к сетям общего пользования и(или) сетям
международного информационного обмена.

13. Классификация информационной системы персональных данных

класс 1 (К1)
• информационные системы, для которых
нарушение заданной характеристики
безопасности персональных данных,
обрабатываемых в них, может привести к
значительным негативным последствиям
для субъектов персональных данных
класс 2 (К2)
• (…) может привести к негативным
последствиям для субъектов ПДн
класс 3 (К3)
• (…) может привести к незначительным
негативным последствиям для субъектов
ПДн
класс 4 (К4)
• (…) не приводит к негативным
последствиям для субъектов ПДн
Приказ ФСТЭК России, ФСБ России и Мининформсвязи России № 55/86/20 от 13 февраля 2008 г.

14. Согласие субъекта ПДн на обработку

фамилию, имя, отчество, адрес субъекта персональных
данных, номер основного документа, удостоверяющего его
личность, сведения о дате выдачи указанного документа и
выдавшем его органе;
наименование (фамилию, имя, отчество) и адрес оператора,
получающего согласие субъекта персональных данных;
цель обработки персональных данных;
перечень персональных данных, на обработку которых
дается согласие субъекта персональных данных;
перечень действий с персональными данными, на
совершение которых дается согласие, общее описание
используемых оператором способов обработки
персональных данных;
срок, в течение которого действует согласие, а также
порядок его отзыва.
Статья 9 152-ФЗ

15. Общедоступные персональные данные

— «персональные данные, доступ неограниченного круга лиц к
которым предоставлен с согласия субъекта персональных данных или
на которые в соответствии с ФЗ не распространяется требование
соблюдения конфиденциальности» (152-ФЗ).
В общедоступные источники персональных данных с письменного
согласия субъекта персональных данных могут включаться его
фамилия, имя, отчество, год и место рождения, адрес, абонентский
номер, сведения о профессии и иные персональные данные,
сообщаемые субъектом персональных данных. (в ред. Федерального
закона от 25.07.2011 N 261-ФЗ)

16. Специальные категории персональных данных

расовая принадлежность
национальная принадлежность
политические взгляды
религиозные или философские убеждения
состояние здоровья
состояние интимной жизни
биометрические ПДн
Условия обработки:
согласие субъекта в письменной форме
ПДн являются общедоступными
Статья 10 152-ФЗ

17. Обеспечение безопасности ПДн при их обработке

«Оператор при обработке персональных данных обязан принимать
необходимые организационные и технические меры для защиты
персональных данных от неправомерного или случайного доступа к ним,
уничтожения, изменения, блокирования, копирования, распространения
персональных данных, а также от иных неправомерных действий»
(Статья 19, 152-ФЗ)

18. Способы обеспечения безопасности

Организационные меры
Технические средства защиты

19. Обеспечение безопасности ПДн при их обработке

Мероприятия по защите информации трудоемки и могут привести к
значительным финансовым затратам, что обусловлено
необходимостью:
получать (по необходимости) лицензию на деятельность по
технической защите конфиденциальной информации ФСТЭК России;
привлекать лицензиата ФСТЭК России для осуществления
мероприятий по созданию системы защиты ИСПДн и/или ее
аттестации по требованиям безопасности информации;
отправлять сотрудников, ответственных за обеспечение безопасности
информации, на курсы повышения квалификации по вопросам
защиты информации и/или нанимать специалистов по защите
информации;
устанавливать сертифицированные по требованиям ФСТЭК средства
защиты информации (СрЗИ), сертифицированные ФСБ средства
криптографической защиты информации (СКЗИ) в зависимости от
класса ИСПДн.

20. Источники угроз несанкционированного доступа (НСД)

Источники угроз НСД
нарушители
внешние
по наличию
прав доступа
внутренние
носитель
вредоносной
программы
аппаратная
закладка
English     Русский Правила