Изменения в законодательстве по защите персональных данных: как выполнить новые требования.

Изменения в законодательстве
по защите персональных данных:
как выполнить новые требования
Директор по маркетингу
Андрей Степаненко
Вебинар
19 июня 2013 г.

Сожержание
Новые нормативные акты по защите ПДн
Обзор требований Приказа №21
Сравнительный анализ требований Приказов №17 и №21
Проблемные вопросы
Рекомендации по применению решений «Кода
Безопасности» для выполнения новых требований

Регуляторы – реальный риск для бизнеса
Источник: The Ernst & Young Business Challenges 2011-2013 Report
«Exploring the top 10 risks and opportunities»

О каких документах будем говорить
Федеральный закон от 27 июля 2006г. №152-ФЗ «О
персональных данных» с правками, внесенными
Федеральным законом от 25 июля 2011г. №261-ФЗ
Постановление Правительства РФ от 1 ноября
2012г. №1119
Приказ ФСТЭК России от 18.02.2013г. №21
Приказ ФСТЭК России от 11.02.2013г. №17

Постановление №1119
«Об утверждении требований к защите
персональных данных при их обработке в
информационных системах персональных данных»
Отменило действие ПП от 17 ноября 2007 г. № 781
Определило подход к определению уровней
защищенности ПДн, введенных Федеральным
законом от 25 июля 2011г. N 261-ФЗ
Установило требования к защите персональных
данных при их обработке в информационных
системах персональных данных в зависимости от
уровня защищенности

Определение типов ПДн
Специальные категории персональных данных – персональные
данные, касающиеся расовой, национальной
принадлежности, политических взглядов, религиозных или философских
убеждений, состояния здоровья, интимной жизни субъектов
персональных данных
Биометрические персональные данные – сведения, которые
характеризуют физиологические и биологические особенности
человека, на основании которых можно установить его личность и
которые используются оператором для установления личности субъекта
Общедоступные персональные данные – персональные данные
субъектов персональных данных, полученные только из общедоступных
источников персональных данных, созданных в соответствии со
статьей 8 Федерального закона «О персональных данных»
Иные категории персональных данных – персональные данные, не
отнесенные в вышеперечисленным типам

Определение актуальных угроз
Ст. 6. Под актуальными угрозами безопасности ПДн понимается
совокупность условий и факторов, создающих актуальную опасность
несанкционированного, в том числе случайного, доступа к ПДн при их
обработке в ИС, результатом которого могут стать
уничтожение, изменение, блокирование, копирование, предоставление, ра
спространение ПДн, а также иные неправомерные действия
Угрозы 1-го типа актуальны для ИС, если для нее в том числе актуальны
угрозы, связанные с наличием недокументированных
(недекларированных) возможностей в СПО, используемом в ИС
Угрозы 2-го типа актуальны для ИС, если для нее в том числе актуальны
угрозы, связанные с наличием недокументированных
(недекларированных) возможностей в ППО, используемом в ИС
Угрозы 3-го типа актуальны для ИС, если для нее актуальны угрозы, не
связанные с наличием НДВ

Определение актуальных угроз
Ст. 7. Определение типа угроз безопасности персональных
данных, актуальных для информационной системы, производится
оператором с учетом оценки возможного вреда, проведенной во
исполнение пункта 5 части 1 статьи 181 Федерального закона «О
персональных данных», и в соответствии с нормативными
правовыми актами, принятыми во исполнение части 5 статьи 19
Федерального закона «О персональных данных»

Новая классификация ИСПДн

Перечень требований к ИСПДн

Приказ ФСТЭК России №21
Об утверждении Состава и содержания
организационных и технических мер по обеспечению
безопасности персональных данных при их обработке
в информационных системах персональных данных
Регулирует деятельность всех операторов ПДн кроме
государственных информационных систем
Заменил Приказ ФСТЭК России №58 от 05.02.2010
Зарегистрирован Минюстом 14.05.2013 за №28375
Вступил в действие 02.06.2013

Основные положения Приказа №21
Общие требования к обеспечению безопасности
нейтрализация актуальных угроз
применение СЗИ, прошедших в установленном порядке
процедуру оценки соответствия
Требования к исполнителям работ по защите
Наличие лицензии на деятельность по ТЗКИ
Требования к проведению оценки эффективности мер
не реже одного раза в 3 года
Состав и содержание мер по обеспечению безопасности
Требования по применению СВТ и СЗИ определенных
классов в ИСПДн разных уровней защищенности

Требования к СВТ и СЗИ
№
п/п
СЗИ сертифицированные по
требованиям безопасности
Уровни защищённости ПДн
IV III II и I
+INET +INET
1 Классы средств вычислительной
техники (СВТ)
6 5 5 5 5
2 Классы систем обнаружения
вторжений (СОВ)
5 5
(актуальны
угрозы 3-го
типа)
4
(или
актуальны
угрозы 2-
го типа)
4 4
3 Классы средств антивирусной
защиты (САВ)
5 4 4
4 Классы межсетевых экранов
(МЭ)
5 4
(актуальны
угрозы 3-го
типа)
3
(или
актуальны
угрозы 2-
го типа)
4
(актуальны
угрозы 3-го
типа)
3
(или
актуальны
угрозы 1-го,
2-го типов)
5 Уровни контроля отсутствия
недекларированных
возможностей (НДВ)
- 4
(актуальны угрозы 2-го
типа)
4 4

Меры по противодействию НДВ
проверка системного и (или) прикладного программного
обеспечения, включая программный код, на отсутствие
недекларированных возможностей с использованием
автоматизированных средств и (или) без использования
таковых
тестирование информационной системы на
проникновения
использование в информационной системе системного и
(или) прикладного программного
обеспечения, разработанного с использованием методов
защищенного программирования

Состав и содержание мер (1/2)
идентификация и аутентификация субъектов доступа и
объектов доступа
управление доступом субъектов доступа к объектам
доступа
ограничение программной среды
защита машинных носителей информации
регистрация событий безопасности
антивирусная защита
обнаружение (предотвращение) вторжений
контроль (анализ) защищенности

Состав и содержание мер (2/2)
обеспечение целостности информационной системы
обеспечение доступности
защита среды виртуализации
защита технических средств
защита информационной системы, ее средств, систем
связи и передачи данных
выявление инцидентов и реагирование на них
управление конфигурацией информационной системы и
системы защиты
Всего 15 групп, включающих 109 защитных мер

Типы мер защиты
Базовые меры (определяются для каждого уровня
защищенности)
Дополнительные меры (не отнесенные к базовым)
27
41
66 69
УЗ4 УЗ3 УЗ2 УЗ1

Определение состава мер защиты
БАЗОВЫЕ МЕРЫ
АДАПТАЦИЯ БАЗОВОГО НАБОРА
УТОЧНЕНИЕ АДАПТИРОВАННОГО НАБОРА
ДОПОЛНИТЕЛЬНОЕ УТОЧНЕНИЕ АДАПТИРОВАННОГО НАБОРА
КОМПЕНСИРУЮЩИЕ МЕРЫ

Компенсирующие меры
При невозможности технической реализации отдельных
выбранных мер по обеспечению безопасности ПДн, а
также с учетом экономической целесообразности на
этапах адаптации базового набора мер и (или) уточнения
адаптированного базового набора мер могут
разрабатываться иные (компенсирующие)
меры, направленные на нейтрализацию актуальных угроз
безопасности ПДн (с обоснованием)
При использовании в информационных системах новых
информационных технологий и выявлении
дополнительных угроз безопасности ПДн, для которых не
определены меры обеспечения их безопасности, должны
разрабатываться компенсирующие меры

Подробнее об мерах защиты

I. Идентификация и аутентификация субъектов
доступа и объектов доступа (ИАФ)
ИАФ.1
Идентификация и аутентификация пользователей, являющихся
работниками оператора
+ + + +
ИАФ.2
Идентификация и аутентификация устройств, в том числе
стационарных, мобильных и портативных
+ +
ИАФ.З
Управление идентификаторами, в том числе создание,
присвоение, уничтожение идентификаторов
+ + + +
ИАФ.4
Управление средствами аутентификации, в том числе хранение,
выдача, инициализация, блокирование средств аутентификации и
принятие мер в случае утраты и (или) компрометации средств
аутентификации
+ + + +
ИАФ.5
Защита обратной связи при вводе аутентификационной
информации
+ + + +
ИАФ.6
Идентификация и аутентификация пользователей, не являющихся
работниками оператора (внешних пользователей)
+ + + +
КОД
Содержание мер по обеспечению безопасности

II. Управление доступом субъектов доступа к
объектам доступа (УПД)
УПД.1
Управление (заведение, активация, блокирование и уничтожение)
учетными записями пользователей, в том числе внешних
пользователей
+ + + +
УПД.2
Реализация необходимых методов (дискреционный, мандатный,
ролевой или иной метод), типов (чтение, запись, выполнение или
иной тип) и правил разграничения доступа
+ + + +
УПД.З
Управление (фильтрация, маршрутизация, контроль соединений,
однонаправленная передача и иные способы управления)
информационными потоками между устройствами, сегментами
информационной системы, а также между информационными
системами
+ + + +
УПД.4
Разделение полномочий (ролей) пользователей, администраторов
и лиц, обеспечивающих функционирование информационной
системы
+ + + +
УПД.5
Назначение минимально необходимых прав и привилегий
пользователям, администраторам и лицам, обеспечивающим
функционирование информационной системы
+ + + +
УПД.6
Ограничение неуспешных попыток входа в информационную
систему (доступа к информационной системе)
+ + + +
УПД.7
Предупреждение пользователя при его входе в информационную
систему о том, что в информационной системе реализованы меры
по обеспечению безопасности персональных данных, и о
необходимости соблюдения установленных оператором правил
обработки персональных данных
КОД

II. Управление доступом субъектов доступа к
объектам доступа (УПД)
УПД.8
Оповещение пользователя после успешного входа в
информационную систему о его предыдущем входе в
информационную систему
УПД.9
Ограничение числа параллельных сеансов доступа для каждой
учетной записи пользователя информационной системы
УПД.10
Блокирование сеанса доступа в информационную систему после
установленного времени бездействия (неактивности) пользователя
или по его запросу
+ + +
УПД.11
Разрешение (запрет) действий пользователей, разрешенных до
идентификации и аутентификации
+ + +
УПД.12
Поддержка и сохранение атрибутов безопасности (меток
безопасности), связанных с информацией в процессе ее хранения
и обработки
УПД.13
Реализация защищенного удаленного доступа субъектов доступа к
объектам доступа через внешние информационно-
телекоммуникационные сети
+ + + +
УПД.14
Регламентация и контроль использования в информационной
системе технологий беспроводного доступа
+ + + +
УПД.15
Регламентация и контроль использования в информационной
системе мобильных технических средств
+ + + +
УПД.16
Управление взаимодействием с информационными системами
сторонних организаций (внешние информационные системы)
+ + + +
УПД.17
Обеспечение доверенной загрузки средств вычислительной
техники
+ +
КОД

III. Ограничение программной среды (ОПС)
ОПС.1
Управление запуском (обращениями) компонентов программного
обеспечения, в том числе определение запускаемых компонентов,
настройка параметров запуска компонентов, контроль за запуском
компонентов программного обеспечения
ОПС.2
Управление установкой (инсталляцией) компонентов
программного обеспечения, в том числе определение
компонентов, подлежащих установке, настройка параметров
установки компонентов, контроль за установкой компонентов
программного обеспечения
+ +
ОПС.З
Установка (инсталляция) только разрешенного к использованию
программного обеспечения и (или) его компонентов
+
ОПС.4
Управление временными файлами, в том числе запрет,
разрешение, перенаправление записи, удаление временных
файлов
КОД

IV. Защита машинных носителей
персональных данных (ЗНИ)
ЗНИ.1 Учет машинных носителей персональных данных + +
ЗНИ.2
Управление доступом к машинным носителям персональных
данных
+ +
ЗНИ.З
Контроль перемещения машинных носителей персональных
данных за пределы контролируемой зоны
ЗНИ.4
Исключение возможности несанкционированного
ознакомления с содержанием персональных данных, хранящихся
на машинных носителях, и (или) использования носителей
персональных данных в иных информационных системах
ЗНИ.5
Контроль использования интерфейсов ввода (вывода) информации
на машинные носители персональных данных
ЗНИ.6
Контроль ввода (вывода) информации на машинные носители
ЗНИ.7 Контроль подключения машинных носителей персональных данных
ЗНИ.8
Уничтожение (стирание) или обезличивание персональных данных
на машинных носителях при их передаче между пользователями, в
сторонние организации для ремонта или утилизации, а также
контроль уничтожения (стирания) или обезличивания
+ + +
КОД

V. Регистрация событий безопасности (РСБ)
РСБ.1
Определение событий безопасности, подлежащих регистрации, и
сроков их хранения
+ + + +
РСБ.2
Определение состава и содержания информации о событиях
безопасности, подлежащих регистрации
+ + + +
РСБ.З
Сбор, запись и хранение информации о событиях безопасности в
течение установленного времени хранения
+ + + +
РСБ.4
Реагирование на сбои при регистрации событий безопасности, в том
числе аппаратные и программные ошибки, сбои в механизмах сбора
информации и достижение предела или переполнения объема
(емкости) памяти
РСБ.5
Мониторинг (просмотр, анализ) результатов регистрации событий
безопасности и реагирование на них
+ +
РСБ.6
Генерирование временных меток и (или) синхронизация системного
времени в информационной системе
РСБ.7 Защита информации о событиях безопасности + + + +
КОД

VI. Антивирусная защита (АВЗ)
АВ3.1 Реализация антивирусной защиты + + + +
АВ3.2
Обновление базы данных признаков вредоносных компьютерных
программ (вирусов)
+ + + +
VII. Обнаружение вторжений (СОВ)
COB.1 Обнаружение вторжений + +
COB.2 Обновление базы решающих правил + +
КОД
КОД

VIII. Контроль (анализ) защищенности
персональных данных (АНЗ)
АНЗ.1
Выявление, анализ уязвимостей информационной системы и
оперативное устранение вновь выявленных уязвимостей
+ + +
АНЗ.2
Контроль установки обновлений программного обеспечения,
включая обновление программного обеспечения средств защиты
+ + + +
АНЗ.3
Контроль работоспособности, параметров настройки и
правильности функционирования программного обеспечения и
средств защиты информации
+ + +
АНЗ.4
Контроль состава технических средств, программного обеспечения
и средств защиты информации
+ + +
АНЗ.5
Контроль правил генерации и смены паролей пользователей,
заведения и удаления учетных записей пользователей, реализации
правил разграничения доступа, полномочий пользователей в
информационной системе
+ +
КОД
Управление
доступом
изменениями
Мониторинг и
управление
инцидентами
Обучение

IХ.Обеспечение целостности информационной
системы и персональных данных (ОЦЛ)
ОЦЛ.1
Контроль целостности программного обеспечения, включая
программное обеспечение средств защиты информации
+ +
ОЦЛ.2
Контроль целостности персональных данных, содержащихся в базах
данных информационной системы
ОЦЛ.3
Обеспечение возможности восстановления программного
обеспечения, включая программное обеспечение средств защиты
информации, при возникновении нештатных ситуаций
ОЦЛ.4
Обнаружение и реагирование на поступление в информационную
систему незапрашиваемых электронных сообщений (писем,
документов) и иной информации, не относящихся к
функционированию информационной системы (защита от спама)
+ +
ОЦЛ. 5
Контроль содержания информации, передаваемой из
информационной системы (контейнерный, основанный на свойствах
объекта доступа, и (или) контентный, основанный на поиске
запрещенной к передаче информации с использованием сигнатур,
масок и иных методов),методов), и исключение неправомерной
передачи информации из информационной системы
ОЦЛ.6
Ограничение прав пользователей по вводу информации в
ОЦЛ.7
Контроль точности, полноты и правильности данных, вводимых в
ОЦЛ.8
Контроль ошибочных действий пользователей по вводу и (или)
передаче персональных данных и предупреждение пользователей
об ошибочных действиях
КОД

X. Обеспечение доступности персональных
данных (ОДТ)
ОДТ.1 Использование отказоустойчивых технических средств
ОДТ.2
Резервирование технических средств, программного обеспечения,
каналов передачи информации, средств обеспечения
функционирования информационной системы
ОДТ.3
Контроль безотказного функционирования технических средств,
обнаружение и локализация отказов функционирования, принятие
мер по восстановлению отказавших средств и их тестирование
+
ОДТ.4
Периодическое резервное копирование персональных данных на
резервные машинные носители персональных данных
+ +
ОДТ.5
Обеспечение возможности восстановления персональных данных с
резервных машинных носителей персональных данных (резервных
копий) в течение установленного временного интервала
+ +
КОД

XI. Защита среды виртуализации (ЗСВ)
ЗСВ.1
Идентификация и аутентификация субъектов доступа и объектов
доступа в виртуальной инфраструктуре, в том числе
администраторов управления средствами виртуализации
+ + + +
ЗСВ.2
Управление доступом субъектов доступа к объектам доступа в
виртуальной инфраструктуре, в том числе внутри ВМ
+ + + +
ЗСВ.3 Регистрация событий безопасности в виртуальной инфраструктуре + + +
ЗСВ.4
Управление (фильтрация, маршрутизация, контроль соединения,
однонаправленная передача) потоками информации между
компонентами виртуальной инфраструктуры, а также по периметру
виртуальной инфраструктуры
ЗСВ.5
Доверенная загрузка серверов виртуализации, виртуальной машины
(контейнера), серверов управления виртуализацией
ЗСВ.6
Управление перемещением виртуальных машин (контейнеров) и
обрабатываемых на них данных
+ +
ЗСВ.7
Контроль целостности виртуальной инфраструктуры и ее
конфигураций
+ +
ЗСВ. 8
Резервное копирование данных, резервирование технических
средств, программного обеспечения виртуальной инфраструктуры, а
также каналов связи внутри виртуальной инфраструктуры
+ +
ЗСВ.9
Реализация и управление антивирусной защитой в виртуальной
инфраструктуре
+ + +
ЗСВ.10
Разбиение виртуальной инфраструктуры на сегменты
(сегментирование виртуальной инфраструктуры) для обработки
персональных данных отдельным пользователем и (или) группой
+ + +
КОД

XII. Защита технических средств (ЗТС)
ЗТС.1
Защита информации, обрабатываемой техническими средствами,
от ее утечки по техническим каналам
ЗТС.2
Организация контролируемой зоны, в пределах которой постоянно
размещаются стационарные технические средства,
обрабатывающие информацию, и средства защиты информации, а
также средства обеспечения функционирования
ЗТС.3
Контроль и управление физическим доступом к техническим
средствам, средствам защиты информации, средствам обеспечения
функционирования, а также в помещения и сооружения, в которых
они установлены, исключающие несанкционированный
физический доступ к средствам обработки информации, средствам
защиты информации и средствам обеспечения функционирования
информационной системы, в помещения и сооружения, в которых
они установлены
+ + + +
ЗТС.4
Размещение устройств вывода (отображения) информации,
исключающее ее несанкционированный просмотр
+ + + +
ЗТС.5
Защита от внешних воздействий (воздействий окружающей среды,
нестабильности электроснабжения, кондиционирования и иных
внешних факторов)
КОД

XIII. Защита информационной системы, ее
средств, систем связи и передачи данных
ЗИС.1
Разделение в информационной системе функций по управлению
(администрированию) информационной системой, управлению
(администрированию) системой защиты персональных данных,
функций по обработке персональных данных и иных функций
информационной системы
+
ЗИС.2
Предотвращение задержки или прерывания выполнения процессов
с высоким приоритетом со стороны процессов с низким
приоритетом
ЗИС.3
Обеспечение защиты персональных данных от раскрытия,
модификации и навязывания (ввода ложной информации) при ее
передаче (подготовке к передаче) по каналам связи, имеющим
выход за пределы контролируемой зоны, в том числе беспроводным
каналам связи
+ + + +
ЗИС.4
Обеспечение доверенных канала, маршрута между
администратором, пользователем и средствами защиты
информации (функциями безопасности средств защиты
информации)
ЗИС. 5
Запрет несанкционированной удаленной активации видеокамер,
микрофонов и иных периферийных устройств, которые могут
активироваться удаленно, и оповещение пользователей об
активации таких устройств
ЗИС.6
Передача и контроль целостности атрибутов безопасности (меток
безопасности), связанных с персональными данными, при обмене
ими с иными информационными системами
КОД

ЗИС. 7
Контроль санкционированного и исключение
несанкционированного использования технологий мобильного кода,
в том числе регистрация событий, связанных с использованием
технологий мобильного кода, их анализ и реагирование на
нарушения, связанные с использованием технологий мобильного
кода
ЗИС. 8
Контроль санкционированного и исключение
несанкционированного использования технологий передачи
речи, в том числе регистрация событий, связанных с использованием
технологий передачи речи, их анализ и реагирование на нарушения,
связанные с использованием технологий передачи речи
ЗИС.9
Контроль санкционированной и исключение несанкционированной
передачи видеоинформации, в том числе регистрация событий,
связанных с передачей видеоинформации, их анализ и
реагирование на нарушения, связанные с передачей
видеоинформации
ЗИС.10
Подтверждение происхождения источника информации,
получаемой в процессе определения сетевых адресов по сетевым
именам или определения сетевых имен по сетевым адресам
ЗИС.11
Обеспечение подлинности сетевых соединений (сеансов
взаимодействия), в том числе для защиты от подмены сетевых
устройств и сервисов
+ +
ЗИС.12
Исключение возможности отрицания пользователем факта отправки
персональных данных другому пользователю
КОД

ЗИС.13
Исключение возможности отрицания пользователем факта
получения персональных данных от другого пользователя
ЗИС.14
Использование устройств терминального доступа для обработки
ЗИС.15
Защита архивных файлов, параметров настройки средств защиты
информации и программного обеспечения и иных данных, не
подлежащих изменению в процессе обработки персональных
данных
+ +
ЗИС.16
Выявление, анализ и блокирование в информационной системы
скрытых каналов передачи информации в обход реализованных
мер или внутри разрешенных сетевых протоколов
ЗИС.17
Разбиение информационной системы на сегменты
(сегментирование информационной системы) и обеспечение
защиты периметров сегментов информационной системы
+ +
ЗИС.18
Обеспечение загрузки и исполнения программного обеспечения с
машинных носителей персональных данных, доступных только для
чтения, и контроль целостности данного программного
обеспечения
ЗИС.19
Изоляция процессов (выполнение программ) в выделенной области
памяти
ЗИС.20
Защита беспроводных соединений, применяемых в
информационной системе
+ + +
КОД

XIV. Выявление инцидентов и реагирование на
них (ИНЦ)
ИНЦ.1
Определение лиц, ответственных за выявление инцидентов и
реагирование на них
+ +
ИНЦ.2 Обнаружение, идентификация и регистрация инцидентов + +
ИНЦ.3
Своевременное информирование лиц, ответственных за выявление
инцидентов и реагирование на них, о возникновении инцидентов в
информационной системе пользователями и администраторами
+ +
ИНЦ.4
Анализ инцидентов, в том числе определение источников и причин
возникновения инцидентов, а также оценка их последствий
+ +
ИНЦ. 5 Принятие мер по устранению последствий инцидентов + +
ИНЦ. 6
Планирование и принятие мер по предотвращению повторного
возникновения инцидентов
+ +
КОД
доступом
Обучение

XV. Управление конфигурацией
информационной системы и системы защиты
персональных данных (УКФ)
УКФ.1
Определение лиц, которым разрешены действия по внесению
изменений в конфигурацию информационной системы и системы
защиты персональных данных
+ + +
УКФ.2
Управление изменениями конфигурации информационной системы
и системы защиты персональных данных
+ + +
УКФ.3
Анализ потенциального воздействия планируемых изменений в
конфигурации информационной системы и системы защиты
персональных данных на обеспечение защиты персональных
данных и согласование изменений в конфигурации
информационной системы с должностным лицом (работником),
ответственным за обеспечение безопасности персональных данных
+ + +
УКФ.4
Документирование информации (данных) об изменениях в
конфигурации информационной системы и системы защиты
+ + +
КОД
доступом
Обучение

Что делать владельцам ГИС

Приказ ФСТЭК России от 11.02.2013 №17
Об утверждении Требований о защите информации, не
составляющей государственную тайну, содержащейся в
государственных информационных системах
Регулирует деятельность по защите государственных
информационных систем, в том числе при обработке ПДн
Зарегистрирован Минюстом 31.05.2013 за №28608
Вступит в действие 01.09.2013

Краткое сравнение
Приказ №17 Приказ №21
ДЛЯ НОВЫХ ИЛИ МОДЕРНИЗИРУЕМЫХ ИС
Распространяется на
ГИС и МИС
Распространяется на
Операторов ПДн
Обязательная
аттестация ИС
Проведение оценки
эффективности защитных мер
Применение сертифицированных
СЗИ
Применение СЗИ, прошедших
процедуру оценки соответствия
Определяет порядок
классификации ИС
Порядок определения уровня
защищенности ПДн установлен в
ПП 1119
ПРАКТИЧЕСКИ ОДИНАКОВЫЙ НАБОР МЕР ЗАЩИТЫ

Классы ГИС
Уровень
значимости
Федеральный
масштаб ГИС
Региональный
Объектовый
1 К1 К1 К1
2 К1 К2 К2
З К2 КЗ КЗ
4 КЗ КЗ К4

Классы ГИС и уровни защищенности ПДн
Класс защиты ГИС
Уровень защищенности ИСПДн
1 2 3 4
1 √ √ √ √
2 √ √ √
3 √ √
4 √

Состав и содержание мер
Удалены 2 раздела (10 мер):
выявление инцидентов и реагирование на них
управление конфигурацией информационной системы и
системы защиты
Добавлены 14 мер:
ИАФ.7
РСБ.8
ОДТ.6, ОДТ.7
ЗИС.21 – ЗИС.30
Всего 13 групп, включающих 113 защитных мер

Сравнение строгости приказов
31%
41%
67%
73%
25%
38%
61%
63%
0%
10%
20%
30%
40%
50%
60%
70%
80%
4 3 2 1
Приказ №17
Приказ №21
Доля базовых мер от общего числа

Наиболее проблемные вопросы

Оценка возможного вреда
Обязанность возложена на оператора – ст. 18.1 ч 1 п 5:
оценка вреда, который может быть причинен субъектам
персональных данных в случае нарушения настоящего
Федерального закона, соотношение указанного вреда и
принимаемых оператором мер, направленных на
обеспечение выполнения
обязанностей, предусмотренных настоящим
Федеральным законом
Методика оценки никем пока не определена

Составление перечня актуальных угроз
Состав актуальных угроз до сих пор не определен (ст 19 ч 5)
Состав дополнительных актуальных угроз до сих пор не
определен (ст 19 ч 6)
ФСТЭК России рекомендует до выхода новых документов
ориентироваться на предыдущие документы в части
касающейся

Применение сертифицированных СЗИ
ПРОТИВ – прямого указания нет (…реализуются в том
числе посредством применения СЗИ, прошедших в
установленном порядке процедуру оценки соответствия, в
случаях, когда применение таких средств необходимо для
нейтрализации актуальных угроз безопасности)
ЗА – установлены требования по уровню сертификации
при применении сертифицированных СЗИ
Мнения экспертов и регуляторов диаметрально
противоположны 

Применение сертифицированных СЗИ
Постановление Правительства РФ от 15 мая 2010 г. №330
«Об особенностях оценки соответствия продукции
(работ, услуг), используемой в целях защиты
сведений, относимых к охраняемой в соответствии с
законодательством РФ информации ограниченного
доступа, не содержащей сведения, составляющие
государственную тайну, а также процессов ее
проектирования (включая
изыскании), производства, строительства, монтажа, наладки,
эксплуатации, хранения, перевозки, реализации, утилизации
и захоронения, об особенностях аккредитации органов по
сертификации и испытательных лабораторий
(центров), выполняющих работы по подтверждению
соответствия указанной продукции (работ, услуг)»
оценка соответствия осуществляется в формах
обязательной сертификации и государственного
контроля (надзора)

Что делать с существующими ИСПДн
По общему правилу нормативный акт применяется к
отношениям, имевшим место после его вступления в силу
и до утраты им силы, т.е. владельцам систем защиты
ИСПДн, построившим их до 02.06.2013, можно ничего не
делать 
НО – Что делать при изменении/развитии ИСПДн и где
проходит граница между незначительными и
значительными изменениями?

Как проводить оценку
152-ФЗ, Ст 19 ч 2 п 4 – Оценка эффективности
принимаемых мер по обеспечению безопасности
персональных данных до ввода в эксплуатацию
информационной системы персональных данных
Приказ №21, п 6 – Оценка проводится не реже одного
раза в 3 года
Методика оценки никем пока не определена

Чем полезен «Код Безопасности»

Наши продуты
Комплекс сертифицированных продуктов от
одного производителя для защиты информации в
соответствии с требованиями регуляторов

Сертификация наших продуктов
57 действующих сертификатов, позволяющих
защищать конфиденциальную
информацию, персональные данные и
сведения, составляющие государственную тайну

Анализ соответствия требованиям

Примеры соответствия требованиям
Secret Net
выполнение мер ИАФ, УПД
частичное выполнение мер ЗНИ, РСБ, ОЦЛ, ЗИС
vGate
полное выполнение 7 мер ЗВС и частичное
выполнение 2 мер ЗВС
полное выполнение мер ИАФ, УПД
частичное выполнение мер РСБ, ОЦЛ

Преимущества наших продуктов
Объединены единым архитектурным замыслом и
ориентированы на обеспечение безопасности
различных компонентов информационной системы
Предназначены для применения в сложных
современных информационных системах
(совместимость и интеграция с корпоративными
каталогами пользователей, используемой
инфраструктурой PKI, SIEM-решениями и т.п.)
Имеют специальные возможности для постепенного
наращивания уровня защищенности без нарушения
функционирования информационной системы

Подробнее – www.securitycode.ru
Документация и
демоверсии
Типовые схемы
применения
Рекомендации по
настройке для
защиты различных
видов тайн
Регулярные вебинары
по продуктам и
новинкам
законодательства

СПАСИБО!
Андрей Степаненко
Директор по маркетингу
a.stepanenko@securitycode.ru
+7 495 980 2345

Изменения в законодательстве по защите персональных данных: как выполнить новые требования.

Recommended

Recommended

More Related Content

What's hot

What's hot (16)

Viewers also liked

Viewers also liked (7)

Similar to Изменения в законодательстве по защите персональных данных: как выполнить новые требования.

Similar to Изменения в законодательстве по защите персональных данных: как выполнить новые требования. (20)

More from Security Code Ltd.

More from Security Code Ltd. (11)

Recently uploaded

Recently uploaded (9)

Изменения в законодательстве по защите персональных данных: как выполнить новые требования.