Отражены основные особенности построения систем защиты персональных данных, рассмотрены основные НПА этой области, представлен алгоритм построения

1. Защита персональных
данных
Алексей Кураленко, преподаватель каф.РЗИ

2. Персональные данные - любая информация,
относящаяся к прямо или косвенно
определенному или определяемому
физическому лицу (субъекту персональных
данных)

3. Меры, направленные на
обеспечение выполнения ФЗ 152
1) назначение ответственного за организацию обработки ПДн;
2) издание документов, определяющих политику оператора в
отношении обработки персональных данных, локальных актов по
вопросам обработки персональных данных, а также локальных актов,
устанавливающих процедуры, направленные на предотвращение и
выявление нарушений;
3) применение правовых, организационных и технических мер по
обеспечению безопасности ПДн;
4) осуществление внутреннего контроля и (или) аудита соответствия
обработки ПДн;
5) оценка вреда, который может быть причинен субъектам ПДн;
6) ознакомление работников оператора с требованиями к ПДн.
7) опубликование документа, определяющему политику в отношении
обработки ПДн

4. Меры по обеспечению
безопасности ПДн
1) определение угроз безопасности ПДн при их обработке в ИСПДн;
2) применением организационных и технических мер по обеспечению
безопасности персональных данных при их обработке в ИСПДн
3) применением прошедших в установленном порядке процедуру оценки
соответствия средств защиты информации;
4) оценкой эффективности принимаемых мер по обеспечению безопасности
ПДн до ввода в эксплуатацию ИСПДн;
5) учет машинных носителей;
6) обнаружение фактов несанкционированного доступа к ПДн и принятием
мер;
7) восстановление ПДн, модифицированных или уничтоженных вследствие
несанкционированного доступа к ним;
8) установление правил доступа к ПДн, обрабатываемым в ИСПДн, а также
обеспечением регистрации и учета всех действий, совершаемых с ПДн в
ИСПДн;
9) контролем за принимаемыми мерами по обеспечению безопасности ПДн.

5. Постановление Правительства
Российской Федерации от 15 сентября
2008 г. N 687 "Об утверждении
Положения об особенностях обработки
ПДн, осуществляемой без
использования средств автоматизации

6. Меры по обеспечению безопасности ПДн
при их обработке, осуществляемой без
использования средств автоматизации
1.Обработка ПДн, осуществляемая без использования средств
автоматизации, должна осуществляться таким образом, чтобы в отношении
каждой категории ПДн можно было определить места хранения ПДн
(материальных носителей) и установить перечень лиц, осуществляющих
обработку ПДн либо имеющих к ним доступ.
2. Необходимо обеспечивать раздельное хранение ПДн (материальных
носителей), обработка которых осуществляется в различных целях.
3. При хранении материальных носителей должны соблюдаться условия,
обеспечивающие сохранность ПДн и исключающие несанкционированный к
ним доступ. Перечень мер, необходимых для обеспечения таких условий,
порядок их принятия, а также перечень лиц, ответственных за реализацию
указанных мер, устанавливаются оператором.

7. Постановление Правительства РФ от
01.11.2012 г. №1119 "Об утверждении
требований к защите ПДн при их
обработке в ИСПДн

8. Категории ПДн
Информационная система является ИС , обрабатывающей
специальные категории ПДн, если в ней обрабатываются ПДн,
касающиеся расовой, национальной принадлежности, политических
взглядов, религиозных или философских убеждений, состояния
здоровья, интимной жизни субъектов.
Информационная система является ИС, обрабатывающей
биометрические ПДн, если в ней обрабатываются сведения, которые
характеризуют физиологические и биологические особенности
человека, на основании которых можно установить его личность и
которые используются оператором для установления личности
субъекта, и не обрабатываются сведения, относящиеся к специальным
категориям ПДн.

9. Категории ПДн
Информационная система является ИС, обрабатывающей
общедоступные ПДн, если в ней обрабатываются персональные данные
субъектов персональных данных, полученные только из общедоступных
источников персональных данных
Информационная система является ИС , обрабатывающей иные
категории ПДн, если в ней не обрабатываются персональные данные, не
указанные ранее.
Информационная система является ИС , обрабатывающей
персональные данные сотрудников оператора, если в ней
обрабатываются персональные данные только указанных сотрудников.
В остальных случаях ИСПДн является информационной системой,
обрабатывающей персональные данные субъектов персональных
данных, не являющихся сотрудниками оператора.

10. Угрозы
Под актуальными угрозами безопасности ПДн понимается
совокупность условий и факторов, создающих актуальную опасность
несанкционированного, в том числе случайного, доступа к ПДн при их
обработке в ИС, результатом которого могут стать уничтожение,
изменение, блокирование, копирование, предоставление,
распространение персональных данных, а также иные неправомерные
действия.

11. Типы актуальных угроз
Угрозы 1-го типа актуальны для ИС , если для нее в том числе
актуальны угрозы, связанные с наличием недокументированных
(недекларированных) возможностей в системном программном
обеспечении, используемом в ИС.
Угрозы 2-го типа актуальны для ИС, если для нее в том числе
актуальны угрозы, связанные с наличием недокументированных
(недекларированных) возможностей в прикладном программном
обеспечении, используемом в ИС.
Угрозы 3-го типа актуальны для ИС, если для нее актуальны угрозы,
не связанные с наличием недокументированных
(недекларированных) возможностей в системном и прикладном
программном обеспечении, используемом в ИС.

12. Уровни защищенности
Категория ПДн
Угрозы 1
типа
Угрозы 2
типа
Угрозы
3 типа
Спец.категории ПДн более чем 100 000 субъектов ПДн, не являющихся сотрудниками
оператора 1 1 2
Спец.категории ПДн сотрудников оператора или специальные категории персональных
данных менее чем 100 000 субъектов ПДн, не являющихся сотрудниками оператора
1 2 3
Биометрические ПДн 1 2 3
Иные категории ПДнболее чем 100 000 субъектов ПДн, не являющихся сотрудниками
оператора 1 2 3
Иные категории ПДнданных сотрудников оператора или иные категории ПДн менее чем
100000 субъектов ПДн, не являющихся сотрудниками оператора
1 3 4
Общедоступные ПДнболее чем 100 000 субъектов ПДн, не являющихся сотрудниками
оператора 2 2 4
Общедоступные ПДнсотрудников оператора или общедоступные ПДн менее чем 100
000 субъектов ПДн, не являющихся сотрудниками оператора
2 3 4

13. Перечень требований к 4 УЗ
а) организация режима обеспечения безопасности помещений, в
которых размещена ИС, препятствующего возможности
неконтролируемого проникновения или пребывания в этих
помещениях лиц, не имеющих права доступа в эти помещения;
б) обеспечение сохранности носителей ПДн;
в) утверждение руководителем оператора документа, определяющего
перечень лиц, доступ которых к ПДн, обрабатываемым в ИС,
необходим для выполнения ими служебных (трудовых) обязанностей;
г) использование средств защиты информации, прошедших процедуру
оценки соответствия требованиям законодательства Российской
Федерации в области обеспечения безопасности информации, в
случае, когда применение таких средств необходимо для
нейтрализации актуальных угроз.

14. Перечень требований к 3 УЗ
а) те же требования что и для 4 УЗ
б) необходимо, чтобы было назначено должностное лицо
(работник), ответственный за обеспечение безопасности
персональных данных в информационной системе.

15. Перечень требований к 2 УЗ
а) те же требования что и для 3 УЗ
б)необходимо, чтобы доступ к содержанию электронного
журнала сообщений был возможен исключительно для
должностных лиц (работников) оператора или
уполномоченного лица, которым сведения, содержащиеся в
указанном журнале, необходимы для выполнения служебных
(трудовых) обязанностей.

16. Перечень требований к 1 УЗ
а) те же требования что и для 2 УЗ
б) автоматическая регистрация в электронном журнале
безопасности изменения полномочий сотрудника оператора по
доступу к персональным данным, содержащимся в
информационной системе
в) создание структурного подразделения, ответственного за
обеспечение безопасности персональных данных в
информационной системе, либо возложение на одно из
структурных подразделений функций по обеспечению такой
безопасности.

17. Приказ ФСТЭК России от 18 февраля
2013 г. N 21 «Об утверждении состава и
содержания организационных и
технических мер по обеспечению
безопасности ПДн при их обработке в
ИСПДн»

18. Состав мер
 идентификация и аутентификация субъектов доступа и объектов доступа;
 управление доступом субъектов доступа к объектам доступа;
 ограничение программной среды;
 защита машинных носителей информации, на которых хранятся и (или)
обрабатываются ПДн;
 регистрация событий безопасности;
 антивирусная защита;
 обнаружение (предотвращение) вторжений;
 контроль (анализ) защищенности ПДн;
 обеспечение целостности ИСПДн;
 обеспечение доступности ПДн;
 защита среды виртуализации;
 защита технических средств;
 защита ИС, ее средств, систем связи и передачи данных;
 выявление инцидентов (одного события или группы событий), которые могут
привести к сбоям или нарушению функционирования ИС и (или) к
возникновению угроз безопасности ПДн, и реагирование на них;
 управление конфигурацией ИС и системы защиты ПДн.

19. Меры
Меры по идентификации и аутентификации субъектов доступа и объектов доступа
должны обеспечивать присвоение субъектам и объектам доступа уникального
признака (идентификатора), сравнение предъявляемого субъектом (объектом)
доступа идентификатора с перечнем присвоенных идентификаторов, а также
проверку принадлежности субъекту (объекту) доступа предъявленного им
идентификатора (подтверждение подлинности).
Меры по управлению доступом субъектов доступа к объектам доступа должны
обеспечивать управление правами и привилегиями субъектов доступа,
разграничение доступа субъектов доступа к объектам доступа на основе
совокупности установленных в информационной системе правил разграничения
доступа, а также обеспечивать контроль за соблюдением этих правил.
Меры по ограничению программной среды должны обеспечивать установку и
(или) запуск только разрешенного к использованию в информационной системе
программного обеспечения или исключать возможность установки и (или) запуска
запрещенного к использованию в информационной системе программного
обеспечения.

20. Меры
Меры по защите машинных носителей персональных данных (средств
обработки (хранения) персональных данных, съемных машинных носителей
персональных данных) должны исключать возможность
несанкционированного доступа к машинным носителям и хранящимся на них
ПДн, а также несанкционированное использование съемных машинных
носителей ПДн.
Меры по регистрации событий безопасности должны обеспечивать сбор,
запись, хранение и защиту информации о событиях безопасности в
информационной системе, а также возможность просмотра и анализа
информации о таких событиях и реагирование на них.
Меры по антивирусной защите должны обеспечивать обнаружение в
информационной системе компьютерных программ либо иной компьютерной
информации, предназначенной для несанкционированного уничтожения,
блокирования, модификации, копирования компьютерной информации или
нейтрализации средств защиты информации, а также реагирование на
обнаружение этих программ и информации.

21. Меры
Меры по обнаружению (предотвращению) вторжений должны обеспечивать
обнаружение действий в информационной системе, направленных на
несанкционированный доступ к информации, специальные воздействия на
информационную систему и (или) персональные данные в целях добывания,
уничтожения, искажения и блокирования доступа к ПДн, а также реагирование
на эти действия.
Меры по контролю (анализу) защищенности ПДн должны обеспечивать
контроль уровня защищенности персональных данных, обрабатываемых в
информационной системе, путем проведения систематических мероприятий
по анализу защищенности информационной системы и тестированию
работоспособности системы защиты персональных данных.
Меры по обеспечению целостности информационной системы и персональных
данных должны обеспечивать обнаружение фактов несанкционированного
нарушения целостности информационной системы и содержащихся в ней
персональных данных, а также возможность восстановления информационной
системы и содержащихся в ней ПДн.

22. Меры
Меры по обеспечению доступности ПДн должны обеспечивать
авторизованный доступ пользователей, имеющих права по доступу, к ПДн,
содержащимся в ИС, в штатном режиме функционирования ИС.
Меры по защите среды виртуализации должны исключать
несанкционированный доступ к ПДн, обрабатываемым в виртуальной
инфраструктуре, и к компонентам виртуальной инфраструктуры и (или)
воздействие на них, в том числе к средствам управления виртуальной
инфраструктурой, монитору виртуальных машин (гипервизору), системе
хранения данных (включая систему хранения образов виртуальной
инфраструктуры), сети передачи данных через элементы виртуальной или
физической инфраструктуры, гостевым операционным системам, виртуальным
машинам (контейнерам), системе и сети репликации, терминальным и
виртуальным устройствам, а также системе резервного копирования и
создаваемым ею копиям.

23. Меры
Меры по защите технических средств должны исключать
несанкционированный доступ к стационарным техническим средствам,
обрабатывающим персональные данные, средствам, обеспечивающим
функционирование информационной системы (далее - средства обеспечения
функционирования), и в помещения, в которых они постоянно расположены,
защиту технических средств от внешних воздействий, а также защиту
персональных данных, представленных в виде информативных электрических
сигналов и физических полей.
Меры по защите информационной системы, ее средств, систем связи и
передачи данных должны обеспечивать защиту персональных данных при
взаимодействии информационной системы или ее отдельных сегментов с
иными информационными системами и информационно-
телекоммуникационными сетями посредством применения архитектуры
информационной системы и проектных решений, направленных на
обеспечение безопасности персональных данных.

24. Меры
Меры по выявлению инцидентов и реагированию на них должны
обеспечивать обнаружение, идентификацию, анализ инцидентов в
информационной системе, а также принятие мер по устранению и
предупреждению инцидентов.
Меры по управлению конфигурацией информационной системы и системы
защиты персональных данных должны обеспечивать управление
изменениями конфигурации информационной системы и системы защиты
персональных данных, анализ потенциального воздействия планируемых
изменений на обеспечение безопасности персональных данных, а также
документирование этих изменений.

26. Выбор мер
Определение базового набора мер по обеспечению безопасности ПДн для
установленного УЗ в соответствии с базовыми наборами мер по обеспечению
безопасности;
Адаптацию базового набора мер по обеспечению безопасности ПДн с учетом
структурно-функциональных характеристик ИС, информационных технологий,
особенностей функционирования ИС (в том числе исключение из базового набора
мер, непосредственно связанных с информационными технологиями, не
используемыми в ИС, или структурно-функциональными характеристиками, не
свойственными ИС);
Уточнение адаптированного базового набора мер по обеспечению безопасности ПДн
с учетом не выбранных ранее мер, в результате чего определяются меры по
обеспечению безопасности ПДн, направленные на нейтрализацию всех актуальных
угроз безопасности ПДн для конкретной ИС;
Дополнение уточненного адаптированного базового набора мер по обеспечению
безопасности ПДн мерами, обеспечивающими выполнение требований к защите ПДн,
установленными иными нормативными правовыми актами в области обеспечения
безопасности ПДн и защиты информации.

27. В случае угроз 1 и 2 типа
проверка системного и (или) прикладного программного
обеспечения, включая программный код, на отсутствие
недекларированных возможностей с использованием
автоматизированных средств и (или) без использования
таковых;
тестирование информационной системы на проникновения;
использование в информационной системе системного и
(или) прикладного программного обеспечения,
разработанного с использованием методов защищенного
программирования.

28. СЗИ для 1 и 2 УЗ
 средства вычислительной техники не ниже 5 класса;
 системы обнаружения вторжений и средства антивирусной
защиты не ниже 4 класса;
 межсетевые экраны не ниже 3 класса в случае актуальности угроз
1-го или 2-го типов или взаимодействия информационной системы с
информационно-телекоммуникационными сетями международного
информационного обмена и межсетевые экраны не ниже 4 класса в
случае актуальности угроз 3-го типа и отсутствия взаимодействия
информационной системы с информационно-
телекоммуникационными сетями международного
информационного обмена;

29. СЗИ для 3 УЗ
 средства вычислительной техники не ниже 5 класса;
 системы обнаружения вторжений и средства антивирусной защиты не
ниже 4 класса защиты в случае актуальности угроз 2-го типа или
взаимодействия информационной системы с информационно-
телекоммуникационными сетями международного информационного
обмена и системы обнаружения вторжений и средства антивирусной
защиты не ниже 5 класса защиты в случае актуальности угроз 3-го типа и
отсутствия взаимодействия информационной системы с информационно-
телекоммуникационными сетями международного информационного
обмена;
 межсетевые экраны не ниже 3 класса в случае актуальности угроз 2-го типа
или взаимодействия информационной системы с информационно-
телекоммуникационными сетями международного информационного
обмена и межсетевые экраны не ниже 4 класса в случае актуальности
угроз 3-го типа и отсутствия взаимодействия информационной системы с
информационно-телекоммуникационными сетями международного
информационного обмена;

30. СЗИ для 4 УЗ
средства вычислительной техники не ниже 6 класса;
системы обнаружения вторжений и средства антивирусной
защиты не ниже 5 класса;
межсетевые экраны 5 класса.
Для обеспечения 1 и 2 уровней защищенности персональных
данных, а также для обеспечения 3 уровня защищенности персональных
данных в информационных системах, для которых к актуальным отнесены
угрозы 2-го типа, применяются средства защиты информации, программное
обеспечение которых прошло проверку не ниже чем по 4 уровню контроля
отсутствия не декларированных возможностей.

31. Приказ ФСБ России от 10 июля 2014 г. N 378 г.
"Об утверждении состава и содержания
организационных и технических мер по
обеспечению безопасности ПДн при их обработке
в ИСПДн с использованием средств
криптографической защиты информации,
необходимых для выполнения установленных
Правительством РФ требований к защите ПДн
для каждого из УЗ"

32. Требования для 4 УЗ
Доступ в помещения
а) оснащения Помещений входными дверьми с замками,
обеспечения постоянного закрытия дверей Помещений на
замок и их открытия только для санкционированного
прохода, а также опечатывания Помещений по окончании
рабочего дня или оборудование Помещений
соответствующими техническими устройствами,
сигнализирующими о несанкционированном вскрытии
Помещений;
б) утверждения правил доступа в Помещения в рабочее и
нерабочее время, а также в нештатных ситуациях;
в) утверждения перечня лиц, имеющих право доступа в
Помещения.

33. Сохранность носителей Пдн
а) осуществлять хранение съемных машинных носителей персональных
данных в сейфах (металлических шкафах), оборудованных внутренними
замками с двумя или более дубликатами ключей и приспособлениями для
опечатывания замочных скважин или кодовыми замками. В случае если на
съемном машинном носителе персональных данных хранятся только
персональные данные в зашифрованном с использованием СКЗИ виде,
допускается хранение таких носителей вне сейфов (металлических шкафов);
б) осуществлять поэкземплярный учет машинных носителей персональных
данных, который достигается путем ведения журнала учета носителей
персональных данных с использованием регистрационных (заводских)
номеров.

34. Определение перечня допущенных лиц
а) разработать и утвердить документ, определяющий
перечень лиц, доступ которых к персональным данным,
обрабатываемым в информационной системе, необходим
для выполнения ими служебных (трудовых)
обязанностей;
б) поддерживать в актуальном состоянии документ,
определяющий перечень лиц, доступ которых к
персональным данным, обрабатываемым в
информационной системе, необходим для выполнения
ими служебных (трудовых) обязанностей.

35. Использование СКЗИ(СЗИ)
а) получения исходных данных для формирования совокупности
предположений о возможностях, которые могут использоваться при
создании способов, подготовке и проведении атак;
б) формирования и утверждения руководителем оператора совокупности
предположений о возможностях, которые могут использоваться при
создании способов, подготовке и проведении атак, и определение на этой
основе и с учетом типа актуальных угроз требуемого класса СКЗИ;
в) использования для обеспечения требуемого уровня защищенности
персональных данных при их обработке в информационной системе
СКЗИ класса КС1 и выше.

36. Требования для 3 УЗ
 Те же что и для 3 УЗ
 Назначение обладающего достаточными навыками должностного лица
(работника) оператора ответственным за обеспечение безопасности
персональных данных в информационной системе
СКЗИ класса КВ и выше в случаях, когда для информационной системы
актуальны угрозы 2 типа;
СКЗИ класса КС1 и выше в случаях, когда для информационной системы
актуальны угрозы 3 типа.

37. Требования для 2 УЗ
• Те же что и для 3 УЗ
• Доступ к электронному журналу:
а) утверждение руководителем оператора списка лиц, допущенных к
содержанию электронного журнала сообщений, и поддержание указанного
списка в актуальном состоянии;
б) обеспечение ИС автоматизированными средствами, регистрирующими
запросы пользователей ИС на получение ПДн, а также факты предоставления
ПДн по этим запросам в электронном журнале сообщений;
в) обеспечение ИС автоматизированными средствами, исключающими доступ к
содержанию электронного журнала сообщений лиц, не указанных в
утвержденном руководителем оператора списке лиц, допущенных к содержанию
электронного журнала сообщений;
г) обеспечение периодического контроля работоспособности
автоматизированных средств (не реже 1 раза в полгода).
СКЗИ класса КА в случаях, когда для информационной системы
актуальны угрозы 1 типа;
СКЗИ класса КВ и выше в случаях, когда для информационной системы
актуальны угрозы 2 типа;
СКЗИ класса КС1 и выше в случаях, когда для информационной системы
актуальны угрозы 3 типа.

38. Требования для 1 УЗ
• Те же что и для 2 УЗ
• автоматическая регистрация в электронном журнале безопасности
изменения полномочий сотрудника оператора по доступу к персональным
данным, содержащимся в информационной системе
• создание отдельного структурного подразделения, ответственного за
обеспечение безопасности персональных данных в информационной системе,
либо возложение его функций на одно из существующих структурных
подразделений
• оборудовать окна Помещений, расположенные на первых и (или)
последних этажах зданий, а также окна Помещений, находящиеся около
пожарных лестниц и других мест, откуда возможно проникновение в
Помещения посторонних лиц, металлическими решетками или ставнями,
охранной сигнализацией или другими средствами, препятствующими
неконтролируемому проникновению посторонних лиц в помещения
• оборудовать окна и двери Помещений, в которых размещены серверы
информационной системы, металлическими решетками, охранной
сигнализацией или другими средствами, препятствующими
неконтролируемому проникновению посторонних лиц в помещения.

39. Стоит обратить внимание на
следующие документы по линии ФСБ
Приказ ФАПСИ от 13.06.2001 N 152 "Об утверждении Инструкции об
организации и обеспечении безопасности хранения, обработки и
передачи по каналам связи с использованием средств
криптографической защиты информации с ограниченным доступом,
не содержащей сведений, составляющих государственную тайну"
Приказ Федеральной службы безопасности Российской Федерации от 9
февраля 2005 г. N 66 г. Москва "Об утверждении Положения о
разработке, производстве, реализации и эксплуатации
шифровальных (криптографических) средств защиты информации
(Положение ПКЗ-2005)
Методические рекомендации по обеспечению с помощью криптосредств
безопасности персональных данных при их обработке в информационных
системах персональных данных с использованием средств автоматизации
Типовые требования по организации и обеспечению функционирования
шифровальных средств, предназначенных для обеспечения безопасности
персональных данных

40. Построение модели угроз
Модель угроз ( безопасности информации ) : Физическое ,
математическое , описательное представление свойств или
характеристик угроз безопасности информации
 «Базовая модель угроз безопасности персональным
данным при их обработке в информационных системах
персональных данных»
 «Методика определения актуальных угроз безопасности
персональных данных при их обработке в информационных
системах персональных данных»

43. Построение модели угроз безопасности
ПД в ИСПДн
1. Определяем уровни защищенности (УЗ) следующих характеристик ИСПДн:
1.1 По территориальному размещению:
· низкий УЗ - распределенная ИСПДн, охватывающая более 1-ого населенного
пункта;
· средний УЗ - корпоративная ИСПДн, охватывающая несколько зданий в одном
населенном пункте;
· высокий УЗ - локальная ИСПД, развернутая в пределах одного здания.
1.2 По соединению с сетями общего пользования и международным сетям
передачи данных
(«Интернет»):
· низкий УЗ - имеет многоточечный выход в сеть;
· средний УЗ - имеет одноточечный выход в сеть;
· высокий УЗ - физически отделенная ИСПДн от сетей общего пользования.
1.3 По операциям с персональными данными:
· низкий УЗ - в ИСПДн возможны модификация и передача данных;
· средний УЗ - в ИСПДн возможны запись, удаление и сортировка данных;
· высокий УЗ - в ИСПДн возможны только лишь чтение и поиск данных.

44. 1.4 По разграничению доступа пользователей ИСПДн:
· низкий УЗ - доступ в систему возможен для всех сотрудников организации;
·средний УЗ - доступ только для установленной группы сотрудников или
владельцев
ПД.
1.5 По взаимодействию системы с другими ИСПДн:
· низкий УЗ- часть интегрированной ИСПДн, владельцем которой не является
организация;
· высокий УЗ- ИСПДн принадлежит организации и не интегрирована с другими
ИСПДн.
1.6 По уровню обобщения ПД:
· низкий УЗ - в системе нет обезличивания ПД;
· средний УЗ - система обеспечивает обезличивание при передаче ПД в другие
организации;
· высокий УЗ - обезличенные ПД для всех пользователей системы.
1.7 По объему ПД, предоставляемых для сторонних организаций:
· низкий УЗ - предоставляется доступ ко всей базе ПД;
· средний УЗ- предоставляется только часть ПД;
·высокий УЗ- ПД не предоставляются для обработки в сторонних организациях.

45. 2. Определяем исходный уровень защищенности (Y1) ИСПДн в целом,
руководствуясь следующими правилами:
· Высокий уровень (Y1=0) - не менее 5-ти позиций п.1 оцениваются как
высокие;
· Средний уровень (Y1=5) - не менее 5-ти позиций п.1 оцениваются не
ниже среднего;
· Низкий уровень (Y1=10) - в остальных случаях.
3. Определяем актуальные угрозы безопасности ПД при их обработке в ИСПДн
в зависимости от категории ИСПДн, для чего:
3. 1 Экспертно оцениваем вероятность угрозы безопасности ПД по следующей
шкале:
· Y2=0 - маловероятно;
· Y2=2 - низкая вероятность;
· Y2=5 - средняя вероятность;
· Y2=10 - высокая вероятность.

46. 3.2 Для каждой угрозы безопасности ПД вычисляем «приведенную вероятность
Y» и «ранжированную вероятность Yr»
Y=(Y1+Y2)/20
· если 0<=Y<= 0.3, то Yr=1;
· если 0.3<Y<= 0.6, то Yr=2;
· если 0.6<Y<= 0.8, то Yr=5;
· и если Y>0.8, то Yr=10.
3.3 Опасность каждой угрозы безопасности ПД ( О ) оцениваем экспертно
следующим образом:
· O=1 - Низкая опасность угрозы для ПД (незначительные негативные
последствия);
· O=4 - Средняя опасность угрозы (негативные последствия);
· O=10 - Высокая опасность (значительные негативные последствия).
3.4 Актуальность угрозы безопасности ПД (А) вычисляется по следующей
формуле: A=Yr*O
Угроза безопасности ПД в ИСПДн актуальна (!) и требуется защита от
нее при А>4

47. Определение актуальных угроз

48. Алгоритм по ОБИ в ИСПДн
Шаг №1. Определить структурное подразделение (должностное лицо),
отвечающее за обеспечение безопасности персональных данных в
организации
Шаг №2. Аудит (инвентаризация) информационных ресурсов
организации
Шаг №3. Сформировать перечень персональных данных
Шаг №4. Документально ограничить круг лиц, допущенных к обработке
персональных данных
Шаг №5. Документально регламентировать работу с персональными
данными для лиц, допущенных к работе с персональными данными в
информационной системе
Шаг №6. Сформировать модель угроз персональным данным
Шаг №7. Определить уровень защищенности ИСПДн

49. Алгоритм по ОБИ в ИСПДн
Шаг №8. Определить требования к системы защиты персональных
данных
Шаг №9. Разработать техническое задание на создание системы защиты
персональных данных
Шаг №10. Реализовать систему защиты информационной системы
персональных данных (ИСПДн) в соответствие с разработанным
техническим заданием и требованиями
Шаг №11. Составить и направить в уполномоченный орган уведомление
об обработке персональных данных
Шаг №12. Провести аттестацию или оценку соответствия
информационной системы персональных данных по требованиям
безопасности информации
Шаг №13. Организовать контроль безопасности обработки
персональных данных

50. ПРИМЕРНЫЙ ПЕРЕЧЕНЬ
ДОКУМЕНТОВ, ПО ОБИ ПДн
• Приказ об организации в организации работ по защите персональный данных
• Перечень обрабатываемых в организации персональных данных
• Обязательство о неразглашении персональных данных сотрудниками
• Описание технологического процесса (порядка) обработки персональных
данных в ИСПДн( Техническое задание на разработку ИСПДн)
• Акт классификации ИСПДн(УЗ)
• Модель нарушителя безопасности персональных данных при их обработке в
ИСПДн
• Модель угроз безопасности персональным данным при их обработке в ИСПДн
• Границы установленной контролируемой зоны (КЗ)
• Частное техническое задание на систему защиты информации ИСПДн
• Инструкция по учету и обращению с носителями персональных данных
• Инструкция ответственного за эксплуатацию ИСПДн
• Инструкция администратора безопасности ИСПДн
• Инструкция по работе пользователей в ИСПДн
• Инструкция о порядке технического обслуживания, ремонта, модернизации
технических средств, входящих в состав ИСПДн

51. ПРИМЕРНЫЙ ПЕРЕЧЕНЬ
ДОКУМЕНТОВ, ПО ОБИ ПДн
• Инструкция по использованию средств защиты информации, установленных в
ИСПДн
•Инструкция по использованию средств криптографической защиты
информации в ИСПДн
• Инструкция по использованию антивирусной защиты ИСПДн
• Инструкция по использованию парольной защиты ИСПДн
• Инструкция по настройке и эксплуатации межсетевого экрана
• Приказ о пользователях ИСПДн и установленных для них правах доступа к
персональным
данным (утвержденные матрицы доступа к ПД)
• Регламент проведения проверок по фактам несоблюдения условий хранения
носителей ПД, использования средств защиты информации, которые могут
привести к нарушению конфиденциальности персональных данных или другим
нарушениям, снижающим уровень защищенности ПД
• Уведомление в уполномоченный орган об обработке персональных данных
• Программа аттестационных испытаний ИСПДн или акт оценки соответствия
• Журнал учета носителей

52. Ответственность
Статья 13.11. Нарушение установленного законом порядка сбора,
хранения, использования или распространения информации о
гражданах (персональных данных)
Нарушение установленного законом порядка сбора, хранения, использования
или распространения информации о гражданах (персональных данных) -
влечет предупреждение или наложение административного штрафа на
граждан в размере от трехсот до пятисот рублей; на должностных лиц - от
пятисот до одной тысячи рублей; на юридических лиц - от пяти тысяч до
десяти тысяч рублей.

53. 137 УК РФ
Незаконное собирание или распространение сведений о частной
жизни лица, составляющих его личную или семейную тайну, без его
согласия
300.000 руб. + исправительные работы на срок до 240 часов + арест
до 6-ти месяцев

54. Ст. 90 ТК РФ
Нарушение норм, регулирующих
получение, обработку и защиту
персональных данных работника -
увольнение

55. В качестве напоминания
СТАТЬЯ 13.12. НАРУШЕНИЕ ПРАВИЛ ЗАЩИТЫ
ИНФОРМАЦИИ
1. Нарушение условий, предусмотренных лицензией на осуществление
деятельности в области защиты информации (за исключением информации,
составляющей государственную тайну), -влечет наложение административного
штрафа на граждан в размере от одной тысячи до одной тысячи пятисот рублей;
на должностных лиц - от одной тысячи пятисот до двух тысяч пятисот рублей; на
юридических лиц - от пятнадцати тысяч до двадцати тысяч рублей.
2. Использование несертифицированных информационных систем, баз и банков
данных, а также несертифицированных средств защиты информации, если они
подлежат обязательной сертификации (за исключением средств защиты
информации, составляющей государственную тайну), - влечет наложение
административного штрафа на граждан в размере от одной тысячи пятисот до
двух тысяч пятисот рублей с конфискацией несертифицированных средств
защиты информации или без таковой; на должностных лиц - от двух тысяч
пятисот до трех тысяч рублей; на юридических лиц - от двадцати тысяч до
двадцати пяти тысяч рублей с конфискацией несертифицированных средств
защиты информации или без таковой.

56. СТАТЬЯ 13.12. НАРУШЕНИЕ ПРАВИЛ ЗАЩИТЫ
ИНФОРМАЦИИ
5. Грубое нарушение условий, предусмотренных лицензией на осуществление
деятельности в области защиты информации (за исключением информации,
составляющей государственную тайну), - влечет наложение административного
штрафа на лиц, осуществляющих предпринимательскую деятельность без
образования юридического лица, в размере от двух тысяч до трех тысяч рублей
или административное приостановление деятельности на срок до девяноста
суток; на должностных лиц - от двух тысяч до трех тысяч рублей; на
юридических лиц - от двадцати тысяч до двадцати пяти тысяч рублей или
административное приостановление деятельности на срок до девяноста суток.
6. Нарушение требований о защите информации (за исключением информации,
составляющей государственную тайну), установленных федеральными
законами и принятыми в соответствии с ними иными нормативными правовыми
актами Российской Федерации, за исключением случаев, предусмотренных
частями 1, 2 и 5 настоящей статьи, - влечет наложение административного
штрафа на граждан в размере от пятисот до одной тысячи рублей; на
должностных лиц - от одной тысячи до двух тысяч рублей; на юридических лиц -
от десяти тысяч до пятнадцати тысяч рублей.

57. СТАТЬЯ 13.13. НЕЗАКОННАЯ ДЕЯТЕЛЬНОСТЬ В
ОБЛАСТИ ЗАЩИТЫ ИНФОРМАЦИИ
1. Занятие видами деятельности в области защиты информации (за
исключением информации, составляющей государственную тайну) без
получения в установленном порядке специального разрешения (лицензии), если
такое разрешение (такая лицензия) в соответствии с федеральным законом
обязательно (обязательна), - влечет наложение административного штрафа на
граждан в размере от пятисот до одной тысячи рублей с конфискацией средств
защиты информации или без таковой; на должностных лиц - от двух тысяч до
трех тысяч рублей с конфискацией средств защиты информации или без
таковой; на юридических лиц - от десяти тысяч до двадцати тысяч рублей с
конфискацией средств защиты информации или без таковой.

58. Благодарю за внимание!