2014-02-09
4579
Физические лица допускаются к работе с СКЗИ согласно перечню пользователей СКЗИ, который утверждается обладателем конфиденциальной информации. До такого утверждения техническая возможность использования СКЗИ лицами, включенными в данный перечень, должна быть согласована с лицензиатом ФСБ России.
Примечание. Пользователи СКЗИ– физические лица, непосредственно допущенные к работе с СКЗИ.
Пользователи СКЗИ обязаны:
Не разглашать конфиденциальную информацию, к которой они допущены, рубежи ее защиты, в том числе сведения о криптоключах.
Примечание. Криптоключ – совокупность данных, обеспечивающая выбор одного конкретного криптографического преобразования из числа всех возможных в данной криптографической системе.
Соблюдать требования к обеспечению безопасности конфиденциальной информации с использованием СКЗИ.
Примечание. Конфиденциальная информация - информация с ограниченным доступом, не содержащая сведений, составляющих государственную тайну
Сообщать в орган криптографической защиты о ставших им известными попытках посторонних лиц получить сведения об используемых СКЗИ или ключевых документах к ним.
|
|
|
Примечание №1. Ключевой документ – физический носитель определенной структуры, содержащий ключевую информацию (исходную ключевую информацию), а при необходимости – контрольную, служебную и технологическую информацию.
Примечание №2. Исходная ключевая информация – совокупность данных, предназначенных для выработки по определенным правилам криптоключей.
Примечание №3. Ключевая информация – специальным образом организованная совокупность криптоключей, предназначенная для осуществления криптографической защиты информации в течение определенного срока.
Примечание №4. Ключевой носитель – физический носитель определенной структуры, предназначенный для размещения на нем ключевой информации (исходной ключевой информации). Различают разовый ключевой носитель (таблица, перфолента, перфокарта…) и ключевой носитель многократного использования (дискета, смарт-карта, компакт-диск, магнитная лента…)
Примечание №5. Ключевой блокнот – набор бумажных ключевых документов одного вида (таблиц, перфолент, перфокарт…), сброшюрованных и упакованных по установленным правилам.
При увольнении или отстранении от исполнения обязанностей, связанных с использованием СКЗИ сдать эти средства, эксплуатационную и техническую документацию, ключевые документы в соответствии с порядком, установленным инструкцией №152.
Немедленно уведомлять орган криптографической защиты о фактах утраты или недостачи СКЗИ, ключевых документов к ним, ключей от помещений, хранилищ, личных печатей и других факторах, которые могут привести к компрометации криптоключей, разглашению защищаемых сведений конфиденциального характера, а также о причинах и условиях возможной утечки таких сведений.
|
|
|
Примечание. Компрометация криптоключей – хищение, утрата, разглашение, несанкционированное копирование и другие происшествия, в результате которых криптоключи могут стать доступными несанкционированным лицам и/или процессам.
Непосредственно к работе с СКЗИ пользователи допускаются только после соответствующего обучения. Обучение пользователей правилам работы с СКЗИ осуществляют сотрудники соответствующего органа криптографической защиты. Документом, подтверждающим должную специальную подготовку пользователей и возможность их допуска к работе с СКЗИ является заключение, составленное комиссией соответствующего органа криптографической защиты на основании принятых от этих лиц зачетов по программе обучения.
Лекция. Обеспечение безопасности персональных данных 28 ноября. Сегодня мы рассмотрим 4 вопроса, связанных с обеспечением безопасности персональных данных. Закон 152
Вопрос 1. Содержание процедур по обработке персональных данных. Содержание процедур по обработке персональных данных.
Трудовой кодекс также имеет отношение к защите персональных отношений. Что такое обработка ПД?
Новой редакцией ФЗ установлено, что обработка персональных данных – это целый комплекс действий, при том, что закон фиксирует любые действия или совокупность действий с использованием средств автоматизации так и без. Перечень операций: сбор, запись, систематизация, накопление, хранение, уточнение, использование, передача, обезличивание, блокирование, удаление и уничтожение.
ФЗ от 27 июля 2006 года 152 О персональных данных
Сбор – при сборе ПД оператор обязан предоставить субъекту персональных данных по его просьбе информацию, предусмотренную частью 7, ст 14. Посмотрим, чтоже за информацию может предоставлять оператор субъекту.
Часть 7я статьи 14. Субъект ПД имеет право на получение при обращении или при получении запроса информации, касающейся обработки его персональных данных:
· Подтверждение факта обработки ПД оператором. Это означает, что оператор, в соответствии с законом обязан подтвердить процедуру которой он занимается по отношению к субъекту ПД.
· Субъект пд получает так информацию, на основании какого закона. Цели и применяемые оператором способы обработки персональных данных. Правовые основания и цели.
· Наименование и местонахождение тех, кто проводит операцию по обработке персональных данных. Сведения о всех, кто имеет доступ к ПД. За исключением работников оператора ПД.
· Обрабатываемые ПД, которые относятся к данному субъекту, источник получения, или другой порядок предоставления таких данных, если иное не предусмотрено законом.
· Сроки обработки ПД, в том числе и сроки их хранения
· Порядок осуществления прав субъекта, то есть каким образом гражданин может реализовать свои права.
· Это информация, касаемая трансграничной передачи
· Конкретные указания о том работнике, который будет производить обработку наименование или фамилию имя отчество и адрес ЮР лица.
· Другие сведения, которые предусмотрены ФЗ или другими федеральными законами.
· Обработка ПД включает в себя СБОР, и во время сбора оператор проводит СИСТЕМАТИЗАЦИЮ, тое приведение полученных ПД в системы в соответствии с заявленными целями.
· Далее следующий этап это НАКОПЛЕНИЕ, ХРАНЕНИЕ:
· Не допускается объединение баз данных, содержащих ПД, обработка которых осуществляется в целях несовместимых между собой.
· Хранение пд должно осуществляться в форме, позволяющей определить субъекта не дольше, чем этого требуют цели обработки ПД, если срок хранения ПД не установлен ФЗ.
|
|
|
Следующий этап в процедуре обработки это УТОЧНЕНИЕ (ОБНОВЛЕНИЕ, ИЗМЕНЕНИЕ). В случае выявления неточных ПД. В случае выявления неточных ПД или его представителя либо по их запросу или по запросу уполномоченного органа по защите прав субъектов ПД оператор обязан осуществить блокирование пд, относящихся к этому субъекту ПД или обеспечить их блокирование, с момента такого обращения или получения указанного запроса на период проверки.
Использование ПД – действия с пД, совершаемые оператором в целях:
Принятия решения; Или совершения иных действия, порождающих юридические последствия; И иным образом, затрагивающих права и свободы субъекта ПД или других лиц. На всех этих этапах существуют потенциальные угрозы, и задача организационного обеспечения информации это блокировать такие угрозы.
Распространение ПД – действия, направленные на раскрытие пд неопределенному кругу лиц.
Обезличивание ПД – действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность пд к конкретному субъекту ПД. Закон устанавливает, что обезличивание персональных данных обеспечивает невозможность без доп информации уяснить кому же принадлежат ПД.
Блокирование ПД - временное прекращение обработки ПД(за исключением случаев, если обработка необходима для уточнения ПД
Уничтожение ПД – действия, в результате которых становится невозможным восстановить содержание ПД в ИСПД и в результате которых уничтожаются материальные носители ПД.
Правовое регулирование в сфере обеспечения безопасности ПД
Баланс интересов – субъекты ПД, государственные органы, негосударственные организации.
| ФЗ н 152 от 27.07.2006 О ПД | ФЗ регулирует отношения, связанные с обработкой персональных данных с использованием средств автоматизации |
| Постановление правительства РФ 781 17.11.2007 Об утверждении положения об обеспечении безопасности ПД при их обработке в ИСПДн | Устанавливаются общие требования к обеспечению безопасности ПД при их обработке в информационных системах ПД |
| Совместный приказ ФСТЭК России мининформ. связи России номер 55-86-20 | Определяет порядок проведения классификации информационных систем ПД |
| Комплект методических документов ФСТЭК России в области обеспечения безопасности персональных данных при их обработке в ИСПДн | Устанавливает конкретные требования к обеспечению безопасности пд при их обработке в информационных системах ПД |
| Комплект документов ФСБ по об ПДн при их обработке вИСПДН | Устанавливает требования по ОБ ПДн при использовании СКЗИ в ИСПДн |
Центральный документ – Постановление 781 Положение об обеспечении безопасности ПД при их обработке в информационных системах персональных данных.
|
|
|
Положение устанавливает требования к обеспечению безопасности ПД при их обработке в информационных системах ПД, представляющих собой совокупность ПД содержащихся в базах данных, а также информационных технология и технических средства, позволяющих осуществлять обработку таких персональных данных с использованием средств автоматизации.
Требования являются обязательными к выполнению для:
· Федеральных органов государственной власти;
· Органов государственной власти субъектов РФ
· Иных государственных органов
· Органов местного самоуправления
· Юридических и физических лиц, участвующих в создании и эксплуатации ИСПДн.
Согласно п11. Данного положения при обработке ПД в ИС должно быть обеспечено:
· Проведение мероприятий, направленных на предотвращение НСД к ПДн;
· Своевременное обнаружение фактов НСД к ПДн
· Недопущение воздействий на технические средства автоматизированной обработки ПДн
· Постоянный контроль за уровнем защищенности ПДн
· Возможность незамедлительного восстановления ПДн
· ПД, поступающего на работу гражданина > Кадровый орган >Финансовый орган; Подразделение хозяйственного обеспечения; Подразделение по пропускному режиму
По запросам ПД могут перемещаться от органа власти к:
Вышестоящий орган власти, налоговые органы, пенсионный фонд, подразделения соцобеспечения, учреждения здравоохранения, учебные заведения, органы ФСБ, военные комиссариаты, банковские структуры, предыдущее место работы, средства массовой информации.
Обеспечение безопасности при обработке персональных данных. Оператор обязан принимать необходимые правовые, организационные, технические меры, или обеспечивать их приятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования,предоставления, распространения ПД, а также от иных неправомерных действий.
ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ ПДн – состояние защищенности ее национальных интересов в информационной сфере определяющихся совокупностью сбалансированных интересов личности, общества и государства. Можно сделать вывод, что безопасность персональных данных это состояние защищенности жизненно важных интересов личности в информационной сфере от внутренних и внешних угроз.
Вместе с тем, что наиболее емкое определение ИБ это все аспекты связанные с определением, достижением и поддержанием конфиденциальности, целостности, доступности, неотказуемости, подотчетности, аутентичности и достоверности информации или средств её обработки.
Конфиденциальность – свойство информации быть недоступной и закрытой для неавторизованного индивидуума. Конфиденциальность информации – обязательное для выполнения лицом получившим доступ к определенной информации требование не передавать такую информацию третьим лица.
Статья 7. Конфиденциальность ПД.
Операторы и иные лица, получившие доступ к персональным данным, обязаны:
-не раскрывать третьим лицам и не распространять ПД без согласия субъекта.
Целостность информации – состояние информации, при котором отсутствует любое изменение и осуществляется только теми субъектами которые имеют на это право
Целостность ресурсов ИС – состояние ресурсов ИС. Целостность ПД – состояние пд при котором их изменение осуществляется только тем кто обладает правом на это.
Доступность – свойство объекта находиться в состоянии готовности и используемости по запросу авторизованного логического объекта.
Доступность это состояние информации при котором субъекты, имеющие право доступа могут реализовать их беспрепятственно.
Неотказуемость – способность удостоверять имевшее место действие или событие так, чтобы эти события или действия не могли быть позже отвергнуты.
Неотказуемость ПДн способность удостоверять имевшее место * действие по отношению к ПД * или событие, касающееся персональных данных так, чтобы эти события или действия не могли быть отвергнуты.
Подотчетность – свойство, которое обеспечивает однозначное прослеживание действий любого логического объекта.
Подотчетность ресурсов – состояние ресурсов автоматизированной ИС при котором обеспечиваются их идентификация и регистрация.
Аутентичность – свойство, гарантирующее, что субъект или ресурс идентичны заявленным. Примечание - применимо к процессам, системам и информации, пользователям.
Аутентичность ПД свойство персональных данных, гарантирующее что субъект ПД или ресурс, содержащий ПД идентичны заявленным.
Аутентичные документы могут быть выполнены на одинаковых или разных видах носителя данных. Межгосударственный стандарт ГОСТ 2.051-2006 Единая система конструкторской документации. Электронные документы.
Аутентификация – действия по проверке подлинности субъекта доступа в информационной системе. Р50.1.056-2005 Рекомендации по стандартизации. Техническая защита информации. Основные термины и определения.
Достоверность свойство соответствия предусмотренному поведению и результатам.
В результате мы можем сформулировать что такое безопасность персональных данных – то есть все аспекты, с вязанные с определением, достижением и поддержанием конфиденциальности, целостности, доступности, неотказуемости, подотчетности, аутентичности и достоверности персональной информации или средств её обработки.
Обеспечение безопасности достигается выполнением следующих мероприятий:
1-Определением угроз безопасности ПД при их обработке в ИСПДн;
2-Применением организационных и технических мер по обеспечению безопасности пд при их обработке в испдн, необходимых для выполнения требований к защите ПД, исполнение которых обеспечивает установленные правительством РФ уровни защищенности ПД;
3-Применением прошедших в установленном порядке процедуру оценки соответствия СЗИ;
4-Оценкой эффективности принимаемых мер по обеспечению безопасности ПД до ввода в эксплуатацию испдн;
5-Учетом машинных носителей ПДн;
6-Обнаружением факта НСД
7-Восстановление ПДн которые уничтожены или модифицированы
8-Установлением правил доступа к ПД, обрабатываемым в ИС пдн а также обеспечением регистрации и учета всех действий, сов с ПДн в ИСПДН
9-Контроль за принимаемыми мерами.
Правительство устанавливает уровни защищенности персональных данных при их обработке в ИСПДн в зависимости от угроз.
Требования к защите персональных данных при их обработке в ИСПДн исполнение которых обеспечивает установленные уровни защищенности
3-Правительство устанавливает требования к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем ПДн.
Приказ федеральной службы по техническому и экспортному контролю от 5го февраля 2010 н58 Об утверждении Положения о методах и способах защиты информации в информационных системах Персональных данных”
Персональные данные надо защищать от несанкционированного в том числе случайного доступа, в частности от их уничтожения изменения блокирования копирования и распространения.
Для защиты персональных данных могут привлекаться специализированные организации. Эти организации должны иметь лицензию на деятельность по технической защите конфиденциальной информации.
Среди методов и способов защиты персональных данных можно выделить следующих: наличие разрешительной системы допуска пользователей к информационным ресурсам;
Ограничение доступа в помещения где размещены технические средства для обработки персональных данных;
Регистрация и контроль действий пользователей персональными данными.
Можно также учитывать и хранить съемные носители информации, использовать защищенные каналы связи. Регистрация и контроль действий пользователя персональными данными. Контроль действий это инструкции контролирующие.
Типовые требования по организации и обеспечению функционирования шифровальных средств, предназначенных для щашиты информации, не содержащей сведений, составляющих государственную тайну в случае их использования для обеспечения безопасности персональных данных при их обработке в ИСПДн.
Требования:
1-Являются обязательными для оператора, который осуществляет обработку ПДн, особым образом выделяется при этом существенным условием договора является обязанность уполномоченного лица обеспечить конфиденциальность персональных данных
2-Требования распространяются на криптограф.
3-Требования не отменяют требования иных документов, регламентирующих порядок обращения со служебной информацией ограниченного распространения в Фед.Орг.Исп.Власти
*Оператор с учетом особенностей своей деятельности может разрабатывать не противоречащие настоящим требованиям методические рекомендации по их применению.
Методические рекомендации по обеспечению предназначены для операторов и разработчиков ИСПДн и охватывают вопросы защиты ПДн с помощью криптосредств. Мет реками нужно руководствоваться при обеспечении с использованием криптосредств безопасности персональных данных при их обработке в государственных ИСПДн.
При использовании криптосредств для обеспечения персональных данных в случаях предусмотренных в п3. Положения о разработке, производств, реализации и эксплуатации.
Положение пкз2005. Положение регулирует отношения, возникающие при разработке, производстве, реализации и эксплуатации
Положением необходимо руководствоваться при разработке, производстве, реалиизации, и эксплуатации средств КЗ конфд характера в случае если инфа подлежит защите в соответствии с законодательством РФ и еще чето там
Если организуется при организации криптографической защиты информации конфиденциального характера в организациях, 5 при обработке информаици государственными органами. 6- при обрабатывании информации конф характера в государственных органах и в организациях выполняющих гос заказы, обладатель которой принимает меры к охране ее конфиденциальности путем установления необходимости криптограф.
