Конституцией Российской Федерации и международными договорами Российской Федерации на основании Федерального закон
Вид материала | Закон |
- Конституцией Российской Федерации, общепризнанными принципами и международными нормами, 590.32kb.
- Конституцией Российской Федерации, федеральными конституционными закон, 357.21kb.
- Верховный Совет Российской Федерации принимает Основы закон, 353.39kb.
- Конституцией Российской Федерации, общепризнанными принципами и нормами международного, 87.46kb.
- Об охране здоровья граждан, 789.45kb.
- Об охране здоровья граждан, 820.22kb.
- Об охране здоровья граждан, 767.42kb.
- Об охране здоровья граждан, 750.42kb.
- Об охране здоровья граждан, 787.98kb.
- Конституцией Российской Федерации, общепризнанными принципами и нормами международного, 640.11kb.
Доклад руководителя департамента информационных технологий и документооборота Кудрова С.П. "О состоянии и перспективах защиты персональных данных граждан в отрасли социальной защиты населения" на коллегии Министерства 21 июня 2011 года
Добрый день, уважаемые коллеги!
Я хочу кратко озвучить вопросы защиты персональных данных (далее – ПДн), обрабатываемых в информационных системах. Основные направления работ:
1) правовое регулирование вопросов;
2) организационные работы;
3) технические аспекты ограничения доступа к ПДн.
Правовое регулирование вопросов
Правовое регулирование вопросов обработки ПДн осуществляется в соответствии с Конституцией Российской Федерации и международными договорами Российской Федерации на основании Федерального закона от 27 июля 2006 года № 152-ФЗ «О персональных данных» (далее – Федеральный закон
№ 152-ФЗ) и постановления Правительства РФ от 17 ноября 2007 года № 781 «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных» с учетом действующих нормативных документов Федеральной службы по техническому и экспортному контролю (далее – ФСТЭК) и ФСБ России по защите информации.
В силу требований Федерального закона № 152-ФЗ все информационные системы персональных данных (далее – ИСПДн), созданные до введения его в действие, должны быть приведены в соответствие установленным требованиям не позднее 1 июля 2011 года. Следует озвучить перечень документов, которые необходимо подготовить для приведения ИСПДн в соответствие с требованиями законодательства.
Каждое учреждение, эксплуатирующее ИСПДн, должно выполнить до 1 июля 2011 года действия в соответствии с приложением.
Перечень нормативных документов, инструкций и вопросов, подлежащих проверке на выполнение требований Федерального закона № 152-ФЗ от 27 июля 2006 года
№ п/п | Наименование проверяемого пункта | Контролирующая организация: | Примечание (степень важности документа) | |
РОСКОМНАДЗОР | ФСТЭК России | |||
1. | Перечень ИСПДн. Акт классификации ИСПДн | + | + | Обязателен |
2. | Частная модель угроз ИСПДн | + | + | Обязателен |
3. | Модель нарушителя, классификация типа нарушителя | | + | Обязателен |
4. | Составление и утверждение списков работников имеющих, доступ к ИСПДн | + | + | Обязателен |
5. | Матрица доступа к ИСПДн | | + | Обязателен |
6. | Положение о разрешительной системе допуска работников к документам и сведениям, составляющим служебную тайну | | + | Рекомендован |
7. | Инструкция, устанавливающая порядок допуска лиц в помещения с установленными ИСПДн | | + | Рекомендован |
8. | Внесение изменений в должностные регламенты специалистов в части обеспечения безопасности персональных данных при их обработке в ИСПДн | | + | Рекомендован |
9. | Положение по обеспечению безопасности персональных данных в ИСПДн | + | + | Обязателен |
10. | Список пользователей локальной вычислительной сети | | + | Рекомендован |
11. | Инструкция администратора безопасности | | + | Обязателен |
12. | Инструкция пользователя | | + | Обязателен |
13. | Инструкция по защите ПЭВМ от компьютерных вирусов | | + | Обязателен |
14. | Инструкция о порядке опечатывания системных блоков | | + | Обязателен |
15. | Инструкция о порядке подключения к сети Интернет и правила работы в Интернет | | + | Обязателен |
16. | Определение (создание) системы защиты персональных данных, обрабатываемых в ИСПДн. Определение технических средств и систем, предполагаемых к использованию в ИСПДн, условий их расположения (размещения), общесистемных и прикладных программных средств | + | + | Обязателен |
17. | Порядок обращения с носителями ПДн | | + | Обязателен |
18. | Распоряжение о контролируемой зоне в организации | | + | Обязателен |
Рекомендации по выполнению организационных работ
Для проведения классификации информационных систем учреждения необходимо провести инвентаризацию информационных систем, используемых в учреждении, обрабатываемых в ней ПДн.
ПДн – любая информация, относящаяся к физическому лицу (субъекту персональных данных). Применительно к информационным системам Министерства труда и социального развития Омской области это могут быть следующие сведения: ФИО гражданина, имеющего право на меры социальной поддержки; паспортные данные; год месяц, дата и место рождения; адрес места жительства и места фактического проживания; льготная категория; фактически предоставляемые льготы и выплаты.
При проведении обследования информационных систем учреждения по наличию указанной информации принимается решение о факте обработки в данной ИСПДн.
Для правильной классификации информационной системы учреждения важно правильно определить категорию обрабатываемых в информационной системе ПДн. Определяются следующие категории обрабатываемых в информационной системе ПДн:
категория 1 – персональные данные, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных и философских убеждений, состояния здоровья, интимной жизни;
категория 2 – персональные данные, позволяющие идентифицировать субъекта ПДн и получить о нем дополнительную информацию за исключением ПДн, относящихся к категории 1;
категория 3 – персональные данные, позволяющие идентифицировать субъекта ПДн;
категория 4 – обезличенные и/или общедоступные персональные данные.
Классификация ИСПДн учреждений должна осуществляться непосредственно самими учреждениями в соответствии с Приказом ФСТЭК России, ФСБ России, Мининформсвязи России от 13 февраля 2008 года № 55/86/20 «Об утверждении Порядка проведения классификации информационных систем персональных данных» в зависимости от категории и количества обрабатываемых данных.
Технические аспекты ограничения доступа
к персональным данным
Для каждой ИСПДн должна быть определена ее структура, для которой устанавливаются ее технические и эксплуатационные характеристики, режимы обработки ПДн и характеристики безопасности. Модель угроз ИСПДн учреждения зависит от используемых в учреждении технологических решений (однопользовательский/многопользовательский режим работы, подключение к локальной вычислительной сети, подключение к сети Интернет, использование технологии удаленного доступа) и от функционального назначения конкретной ИСПДн.
Структура информационной системы может быть представлена как:
- Автоматизированное рабочее место, если вся обработка ПДн производится в рамках одного рабочего места.
- Локальная информационная система, если вся обработка ПДн производится в рамках одной локальной вычислительной сети.
- Распределенная информационная система, если обработка ПДн производится в рамках комплекса автоматизированных рабочих мест и/или локальных информационных систем, объединенных в единую информационную систему средствами мультисервисной сети.
- Подключение информационной системы к сетям общего пользования, если ИСПДн или ее элементы имеют подключение к сети Интернет или другим сетям, вне зависимости обусловлено ли это служебной необходимостью – ИСПДн имеет подключение.
Режим обработки ПДн. Система является однопользовательской, если сотрудник обрабатывающий ПДн совмещает в себе функции администратора (осуществляет настройку и поддержку технических и программных средств) и оператора. Во всех других случаях ИСПДн является многопользовательской.
Режим разграничения прав доступа пользователей. Если в системе все пользователи (администраторы, операторы, разработчики) обладают одинаковым набором прав доступа или осуществляют вход под единой учетной записью, то ИСПДн не имеет системы разграничения прав доступа. Во всех других случаях ИСПДн имеет систему разграничения прав доступа.
Должен быть определен объем записей ПДн. В ИСПДн объем персональных данных может принимать значение:
1 - в информационной системе одновременно обрабатываются ПДн более чем 100 000 субъектов ПДн;
2- в информационной системе одновременно обрабатываются ПДн от 1000 до 100 000 субъектов ПДн;
3- в информационной системе одновременно обрабатываются ПДн менее чем 1000 субъектов ПДн.
На основании категории ПДн и их объема, ИСПДн присваивается класс.
Типовым ИСПДн могут быть присвоены следующие классы:
класс 1 (К1) – информационные системы, для которых нарушения могут привести к значительным негативным последствиям для субъектов ПДн;
класс 2 (К2) – информационные системы, для которых нарушения могут привести к негативным последствиям для субъектов ПДн;
класс 3 (К3) – информационные системы, для которых нарушения могут привести к незначительным негативным последствиям для субъектов ПДн;
класс 4 (К4) – информационные системы, для которых нарушения не приводят к негативным последствиям для субъектов ПДн.
Классификация систем по категории ПДн и их объему нужна для того, чтобы в дальнейшем можно было спроектировать систему защиты ИСПДн учреждения, поскольку в документах ФСТЭК России защита для любых систем строится с учетом их класса и модели угроз.
Сейчас внесены изменения в постановление Правительства Омской области 40-п и АИС ЭСРН в части изменения формы заявлений на обработку ПДн.
Направлены письма с рекомендациями, на что обратить внимание по результатам предыдущих проверок:
- отсутствие на рабочих местах учреждений производящих обработку ПДн средств защиты информации от несанкционированного доступа;
- поданные ранее учреждениями уведомления об обработке ПДн в уполномоченный орган не в полной мере отражают цели, категории, правовые обоснования, перечни действий и описания мер при обработке персональных данных в соответствии с Федеральным законом.