Лекция 2.1 (ПДн)
.pdf
Защита персональных данных
PART 1
Федеральные законы и постановления правительства РФ
Федеральный закон от 27 июля 2006 г. №152-ФЗ «О персональных данных»
Положение об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных (утв. Постановлением Правительства РФ от 17 ноября 2007 г. № 781)
Положение об особенностях обработки персональных данных, осуществляемой без средств автоматизации (утв. Постановлением Правительства РФ от 15 сентября 2007 г. № 687)
Методические документы ФСТЭК
Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных (утверждена заместителем директора ФСТЭК России 15 февраля 2008 года)
Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных (утверждена заместителем директора ФСТЭК России 14 февраля 2008 года)
Положение о методах и способах защиты информации в информационных системах персональных данных (утверждено приказом директора ФСТЭК 5 февраля 2010 г. №58 )
Порядок проведения классификации информационных систем персональных данных (утвержден 13 февраля 2008 г. приказом ФСТЭК №55, ФСБ №86, Мининформсвязи №20)
Методические документы ФСБ
«Методические рекомендации по обеспечению с помощью криптосредств безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств автоматизации», утвержденные руководством 8 Центра ФСБ России 21 февраля 2008 г., №149/54-144.
«Типовые требования по организации и обеспечению функционирования шифровальных (криптографических) средств, предназначенных для защиты информации, не содержащей сведений, составляющих государственную тайну, в случае их использования для обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных», ФСБ России, №149/6/6-622.
Общий порядок создания СЗПДн
Определение исходных данных
Классификация ИС
Разработка модели угроз и нарушителя
Разработка ТЗ на систему защиты
Разработка проектной документации
Разработка эксплуатационной документации
Монтажные и пуско-наладочные работы
Ввод системы защиты информации в эксплуатацию
Объект защиты
Речевая информация
Информация, обрабатываемая техническими
средствами
Информация, представленная в виде информативных электрических сигналов, физических полей
Носители на бумажной, магнитной, оптической
и иной основе
Принцип разбиения на ИСПДн
По структуре:
Распределенная;
Локальная;
Автономная.
По наличию соединения с ССОП
По разграничению прав доступа к ПДн:
С РПД;
Без РПД.
Режим обработки ПДн (МП/ОП)
Цель обработки ПДн
Категория ПДн
|
№ п/п |
ВидыобрабатываемыхПДн |
ИСПДн 1 |
ИСПДн 2 |
ИСПДн 1 |
|
1 |
Фамилия, имя, отчество (ФИО) |
v |
v |
v |
|
2 |
Паспортные данных |
v |
|
|
|
3 |
Дата и место рождения |
v |
|
|
|
4 |
Данные должностного положения |
v |
|
v |
……
x |
Данные военного билета или |
v |
|
|
удостоверения личности офицера |
|
|
||
|
КатегорияПДн |
2 |
4 |
4 |
Классификация ИС
|
|
ПД менее чем 1000 |
данные от |
данные |
|
|
|
субъектов ПД или ПД |
1000 до 100 |
более чем |
|
|
|
субъектов ПД в пределах |
000 |
100 000 |
|
|
|
конкретной организации |
субъектов |
субъектов |
|
|
|
3 |
2 |
1 |
|
Обезличенные и (или) общедоступные ПД |
категория |
|
|
|
|
4 |
К4 |
К4 |
К4 |
||
|
|||||
ПД, позволяющие идентифицировать |
категория |
|
|
|
|
субъекта ПД |
3 |
К3 |
К3 |
К2 |
|
ПД, позволяющие идентифицировать |
|
|
|
|
|
субъекта ПД и получить о нем |
категория |
|
|
|
|
дополнительную информацию, за |
|
|
|
||
2 |
|
|
|
||
исключением ПД, относящихся к |
|
|
|
||
|
|
|
|
||
категории 1 |
|
К3 |
К2 |
К1 |
|
|
|
|
|
|
|
ПД, касающиеся расовой, |
|
|
|
|
|
национальной принадлежности, |
категория |
|
|
|
|
политических взглядов, религиозных и |
|
|
|
||
1 |
|
|
|
||
философских убеждений, состояния |
|
|
|
||
|
|
|
|
||
здоровья, интимной жизни |
|
К1 |
К1 |
К1 |
|
|
|
||||
|
|
|
|
|