Презентация на тему Основные определения

прямо или косвенно определенному или определяемому физическому лицу.

Информационная система

персональных данных — информационная система, представляющая собой совокупность персональных данных, содержащихся в базе данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных с использованием средств автоматизации или без использования таких средств.

Оператор — государственный орган, муниципальный орган, юридическое или физическое лицо, организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели и содержание обработки персональных данных.

февраля 2008 г. №55/86/20 «Об утверждении Порядка проведения классификации

информационных систем персональных данных»

Определяет проведение классификации ИСПДн, позволяющих осуществлять обработку персональных данных с использованием средств автоматизации

Классификация информационных систем проводится оператором

Классификация ИС проводится на этапе их создания или в ходе их эксплуатации с целью установления методов и способов защиты информации, необходимых для обеспечения безопасности ПД.

Проведение классификации ИС включает в себя следующие этапы:
- сбор и анализ исходных данных по информационной системе;
- присвоение информационной системе соответствующего класса и его документальное оформление.

данные:
категория обрабатываемых в информационной системе персональных данных (Хпд);
объем обрабатываемых

персональных данных (количество субъектов ПД) (Хнпд);
характеристики безопасности персональных данных обрабатываемых в ИС, заданные оператором;
структура информационной системы;

наличие подключений информационной системы к сетям связи общего пользования и (или) сети Интернет;
режим обработки персональных данных (однопользовательские или многопользовательские системы);
режим разграничения прав доступа пользователей информационной системы (с разграничением или без разграничения прав доступа);
местонахождение технических средств информационной системы (в пределах или за пределами РФ).

расовой, национальной принадлежности, политических взглядов, религиозных и философских убеждений,

состояния здоровья, интимной жизни;

Категория 4
обезличенные и (или) общедоступные персональные данные.

Категория 3
персональные данные, позволяющие идентифицировать субъекта персональных данных;

Категория 2
персональные данные, позволяющие идентифицировать субъекта персональных данных и получить о нем дополнительную информацию, за исключением персональных данных, относящихся к категории 1;

системы
требуется
обеспечение только конфиденциальности персональных данных.
требуется обеспечить хотя бы одну

из характеристик безопасности персональных
данных, отличную от конфиденциальности

Информационные системы
-в которых обрабатываются персональные данные, касающиеся состояния здоровья субъектов ПД;
-порождающие юридические последствия в отношении субъекта ПД или иным образом затрагивающие его права и законные интересы, принимающие решения на основе исключительно автоматизированной обработки

автоматизированных рабочих мест (локальные информационные системы)
Комплексы автоматизированных рабочих мест

(распределенные информационные системы)

присваивается один из следующих классов:
Нарушение заданной характеристики безопасности ПД,

обрабатываемых в ИС, для субъекта ПД…

может привести к значительным негативным последствиям

может привести к негативным последствиям

может привести к незначительным негативным

не приводит
к негативным последствиям

К4

К3

К2

К1

устанавливается путем обязательной сертификации (аттестации)

подтверждается декларированием соответствия, проводимым оператором

определяется оператором (в зависимости от возможного ущерба)

Соответствие требованиям безопасности

таблицей.
*класс специальной информационной системы определяется на основе модели угроз

безопасности персональных данных в соответствии с методическими документами, разрабатываемыми в соответствии с пунктом 2 постановления Правительства Российской Федерации от 17 ноября 2007 г. № 781 "Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных».
http://lukatsky.blogspot.ru/2012/05/blog-post_21.html

MAX(Кпс)

персональных данных

№58 «Об утверждении положения о методах и способах защиты

информации в информационных системах персональных данных»

Устанавливает методы и способы защиты информации, применяемые для обеспечения безопасности персональных данных при их обработке в ИСПДн

Не рассматривает вопросы обеспечения безопасности персональных данных, отнесенных в установленном порядке к сведениям, составляющим государственную тайну, а также вопросы применения криптографических методов и способов защиты информации.

техническим каналам
уничтожения
изменения
блокирования
копирования
распространения
иных несанкционированный

действий

копирования
распространения
иных несанкционированных действий

Включают в себя защиту от:

в ИС:

с открытыми сетями
В зависимости от класса ИС
реализация модели

AAA
физическая безопасность технических средств и их резервирование
использование СЗИ прошедших процедуру оценки соответствия
антивирусная защита

Подключение ИС, обрабатывающих государственные информационные ресурсы, к открытым сетям осуществляется в соответствии с Указом Президента Российской Федерации от 17 марта 2008 г. № 351 «О мерах по обеспечению ИБ РФ при использовании информационно-телекоммуникационных сетей международного информационного обмена»

Определяются оператором в соответствии с приложением к настоящему Положению

с открытыми сетями
межсетевое экранирование, фильтрация трафика
обнаружение вторжений

и анализ защищенности ИС , аудит
использование средств надежной идентификации и аутентификации пользователей
централизованное управление системой защиты

При наличии удаленного доступа

проверка подлинности удаленного пользователя и целостности передаваемых данных;
управление доступом к защищаемым персональным данным информационной сети;
использование атрибутов безопасности.

При межсетевом взаимодействии отдельных ИС через открытые сети

создание канала связи, обеспечивающего защиту передаваемой информации;
аутентификация взаимодействующих ИС и проверка подлинности пользователей и целостности передаваемых данных;
обеспечение предотвращения возможности отрицания пользователем факта отправки (получения) ПД другому (от другого) пользователю(я) (для систем разных операторов);

от класса ИС
определяется оператором
К3
управление доступом
регистрация и учет

обеспечение целостности
безопасное межсетевое взаимодействие

K2

К1

техническим каналам связи:
+
+