НОВЫЕ ИНФОРМАЦИОННЫЕ ТЕХНОЛОГИИ В ОБРАЗОВАНИИ Двенадцатая международная научно-практическая конференция 31 января - 1 февраля 2012 г. Формирование новой информационной среды образовательного учреждения с использованием технологий "1С" Баймакова Ирина Александровна, эксперт Обеспечение защиты персональных данных в условиях изменения действующего законодательства
Обеспечение защиты персональных данных в условиях изменения действующего законодательства. Баймакова Ирина Александровна, эксперт. История вопроса. 1981 год - Конвенция «О защите физических лиц при автоматизированной обработке персональных данных»; - PowerPoint PPT Presentation
Welcome message from author
This document is posted to help you gain knowledge. Please leave a comment to let me know what you think about it! Share it to your friends and learn new things together.
образовательного учреждения с использованием технологий
"1С"
Баймакова Ирина Александровна, эксперт
Обеспечение защиты персональных данных в условиях изменения
действующего законодательства
2
История вопроса
1981 год - Конвенция «О защите физических лиц при автоматизированной обработке персональных данных»;
2006 год – Федеральный закон «О персональных данных» № 152-ФЗ;
2007 год – создание Управления по защите прав субъектов персональных данных;
2008 год – издание подзаконных и нормативных правовых актов
2011 год – существенное изменение Федерального закона «О персональных данных»
3
Изменения законодательства
Федеральным законом от 25.07.2011 № 261-ФЗ были внесены изменения в Федеральный закон«О персональных данных»
Изменения затронули:
Применяемую терминологию;
Порядок получения согласия субъектов ПДн и случаи обработки ПДн без согласия;
Требования к уведомлению;
Требования к оператору персональных данных при передаче информации для обработки третьим лицам;
Введение уровней защищенностей.
4
Терминология (ст. 3 Федерального закона 152-ФЗ)
персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту ПДн);
автоматизированная обработка ПДн - обработка ПДн с помощью средств вычислительной техники;
распространение ПДн - действия, направленные на раскрытие ПДн неопределенному кругу лиц;
предоставление ПДн - действия, направленные на раскрытие Пдн определенному лицу или определенному кругу лиц;
обезличивание ПДн - действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность ПДн конкретному субъекту ПДн;
5
Принципы и условия обработки ПДн(ст. 5 и 6 Фед. закона № 152-ФЗ)
Основополагающие принципах и условиях обработки ПДн, в том числе:
обработка ПДн должна осуществляться на законной и справедливой основе;
обработка ПДн должна быть ограничена достижением конкретных целей;
обрабатываемые ПДн не должны быть избыточными по отношению к целям их обработки;
оператор должен принимать меры, либо обеспечивать их принятие по удалению или уточнению неполных или неточных данных.
6
Нормативно-правовое регулирование
Федеральный закон № 152-ФЗ
до 261-ФЗ
Пунктом 2 статьи 19 закона предусмотрено, что Правительство РФ устанавливает требования к обеспечению безопасности Пдн при их обработке в ИСПДн, требования к материальным носителям биометрических Пдн и технологиям хранения таких данных вне ИСПДн.
В Постановлении Правительства № 781 от 17.11.2007 года предусмотрено (п.6), что Порядок проведения классификации информационных систем устанавливается совместно ФСТЭК России, ФСБ РФ и Министерством информационных технологий и связи РФ.
Приказ ФСТЭК РФ, ФСБ РФ и Министерства информационных технологий и связи РФ от 13.02.2008 № 55/86/20
Приказ ФСТЭК России от 05.02.2010 № 58 «Об утверждении положения о методах и способах защиты информации в информационных системах персональных данных» (пришел на смену Основным мероприятиям …)
7
Нормативно-правовое регулирование
Федеральный закон № 152-ФЗ
с учетом 261-ФЗ
Правительство РФ с учетом возможного вреда субъекту ПДн, объема и содержания обрабатываемых ПДн, вида деятельности, при осуществлении которого обрабатываются ПДн, актуальности угроз безопасности ПДн устанавливает:
- уровни защищенности ПДн при их обработке в ИСПДн в зависимости от угроз безопасности этих данных;
- требования к защите Пдн при их обработке в ИСПДн, исполнение которых обеспечивает установленные уровни защищенности ПДн;
- требования к материальным носителям биометрических ПДн и технологиям хранения таких данных вне ИСПДн.
8
Состав и перечень мер по защите ПДн(ст. 18.1 Фед. закона № 152-ФЗ)
Определен состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных законодательствомо защите ПДн. К таким мерам могут относиться:
назначение оператором, являющимся юридическим лицом, ответственного за организацию обработки ПДн;
издание документов, определяющих политику оператора в отношении обработки ПДн;
применение правовых, организационных и технических мер по обеспечению безопасности ПДн;
осуществление внутреннего контроля и (или) аудита соответствия обработки ПДн установленному порядку;
оценка вреда, который может быть причинен субъектам ПДн; ознакомление работников оператора с организацией работы с ПДн.
9
Обязанности оператора ПДн(п. 2 ст. 19 Фед. Закона № 152-ФЗ)
Требование Реализация
1. Определение угроз безопасности ПДн при их обработке в ИСПДн
Модель угроз (документ)
2. Применение организационных и техни-ческих мер по обеспечению безопасности ПДн при их обработке в ИСПДн, необходи-мых для выполнения требований к защите ПДн, исполнение которых обеспечивает установленные Правительством РФ уровни защищенности ПДн
?
Уровни защищенности ПДн должны быть установлены Правительством РФ
3. Применение прошедших в установленном порядке процедуру оценки соответствия средств защиты информации
Перечень сертифицированных СЗИ приведен на сайте ФСТЭК России (ЗПК «1С:Предприятие 8.2z»)
4. Оценка эффективности принимаемых мер по обеспечению безопасности ПДн ?
10
Обязанности оператора ПДн (п. 2 ст. 19 Фед. закона № 152-ФЗ)
Требование Реализация
5. Учет машинных носителей ПДнОрганизационные меры
(журнал учета)
6. Обнаружение фактов несанкционированного доступа к ПДн и принятие мер
Технические меры (ПО фирмы 1С)
7. Восстановление ПДн, модифицированных или уничтоженных вследствие несанкционированного доступа к ним
Организационно-технические меры (деятельность системного администратора и ПО фирмы 1С)
8. Установление правил доступа к ПДн, обрабатываемым в информационной системе ПДн, а также обеспечением регистрации и учета всех действий, совершаемых с ПДн в ИСПДн
Организационно-технические меры (регламентация правил доступа внутри компании + настройка ПО фирмы 1С)
9. Контроль за принимаемыми мерами по обеспечению безопасности ПДн и уровня защищенности ИСПДн
Организационные меры (назначение ответственного и
периодический контроль)
11
Обязанности оператора ПДн
Среди обязательных мероприятий, которые должны быть проведены всеми операторами ПДн, необходимо выделить:
получение согласия физических лиц на обработку персональных данных;
направление уведомления в Роскомнадзор для включения в реестр операторов персональных данных;
назначение ответственного за организацию обработки персональных данных;
разработка положения об обработке и защите персональных данных.
12
Деятельность «1С» по обеспечению требований законодательства о ПДн
Сертификация средств защиты информации;
Доработка конфигураций;
Разработка подсистемы «Защита персональных данных»
Методическая поддержка партнеров и пользователей
13
Сертификация ПО фирмы «1С»
Что учтено в решениях фирмы «1С» на платформе 8.2 (с учетом требований,предусмотренных Приказом ФСТЭК России № 58)
Управление доступом – предусмотрена возможность настройки доступа с паролем состоящим из любого количества символов (возможности платформы дают возможность вводить запрет на простые пароли, а также возможность указания пароля на нескольких регистрах)
Регистрация и учет:
регистрации событий аутентификации и отказа в аутентификации;
регистрация событий доступа и отказа в доступе к конкретным персональным данным;
получение сведений о зарегистрированных событиях;
регистрация изменений прав пользователя.
Обеспечение целостности – предусмотрена проверка информационной базы на физическую целостность с использованием ПП ФИКС 2.0
14
Доработки технологической платформы
Начиная с версии 8.2.10 в платформе «1С:Предприятие 8.2» дополнительно реализовано:
Регистрация аутентификации и отказа в аутентификации (реализовано в версии 8.2.9);
Регистрация изменений прав пользователей позволяет определить когда какие роли назначались пользователю;
Регистрация фактов отказа в доступе Регистрируются все факты отказа в доступе пользователю. Например, для
поиска массовых попыток обращения к недоступным для пользователя ресурсам Регистрация доступа к защищаемым ресурсам:
- Разработчик включает регистрацию для доступа к определенным полям по определенным объектам метаданных;
- Разработчик описывает какую ключевую информацию необходимо включать в события журнала регистрации для поиска событий;
- Система реализует отражение всех фактов доступа к указанной информации;
- Система предоставляет возможность отбора зарегистрированных событий по метаданным и данным.
15
Условия продажи и применения ЗПК
Защищенный программный комплекс «1С:Предприятие, версия 8.2z»: прошел регистрацию в 2010 году; сертификат ФСТЭК РФ № 2137; может применяться в ИСПДн до класса К1
Порядок продажи ЗПК определен в инфописьме № 12891 от 29.12.2010; Существует два варианта ЗПК: