Законы регламентирующие защиту ПДн

Общедоступные

• ФЗ № 152 «О персональных данных» от 27 июля 2006 г.
• ФЗ 363 "О внесении изменений в статьи 19 и 25 Федерального закона "О персональных данных" от 27 декабря 2009 г.
• Приказ ФСТЭК N 58 "Об утверждении положения о методах и способах защиты информации в информационных системах защиты персональных данных"от 5 февраля 2010 г.

Закрытые

Методические материалы ФСТЭК

• Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных" от 15 февраля 2008 года (Базовая модель).

• Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных" от 15 февраля 2008 года (Методика).

Документы, которые не применяются с 15 марта 2010 г. Решение ФСТЭК:

• Основные мероприятия по организации и техническому обеспечению безопасности персональных данных, обрабатываемых в информационных системах персональных данных" от 15 февраля 2008 года (пометка «для служебного пользования» снята Решением ФСТЭК России от 11 ноября 2009 г.)

• Рекомендации по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных" от 15 февраля 2008 года (пометка «для служебного пользования» снята Решением ФСТЭК России от 11 ноября 2009 г.)

ГОСТ Р 51583-2000 Порядок создания автоматизированных систем в защищенном исполнении

ПРИНЯТ И ВВЕДЕН В ДЕЙСТВИЕ Постановлением Госстандарта России от 6 апреля 2000 г. № 95-ст

1 Область применения

Настоящий стандарт распространяется на автоматизированные системы в защищенном ис полнении, используемые в различных видах деятельности (исследование, управление, проектиро вание и т. п.), включая их сочетания, в процессе создания и применения, которых осуществляется обработка защищаемой информации, содержащей сведения, отнесенные к государственной или служебной тайне.

Настоящий стандарт устанавливает дополнительные требования и положения стандартов класса 34 “Информационная технология. Комплекс стандартов на автоматизированные системы” в части порядка создания и применения автоматизированных систем в защищенном исполнении.

Настоящий стандарт применяется на территории Российской Федерации органами государственной власти, местного самоуправления, организациями, предприятиями и учреждениями не зависимо от их организационно-правовой формы и формы собственности, которые заказывают, разрабатывают, изготавливают и используют (эксплуатируют) автоматизированные системы в за щищенном исполнении.

настоящем стандарте приняты следующие сокращения:

AC — автоматизированная система;

АСЗИ — автоматизированная система в защищенном исполнении;

ЗИ — защита информации;

НД — нормативный документ;

ТЗ — техническое задание;

ЧТЗ — частное техническое задание;

ШС — шифровальное средство;

ТС — технические средства;

ПС — программные средства;

СрЗИ — средство защиты информации;

СиЗИ — система защиты информации;

СВТ — средство вычислительной техники;

ПЭМИН — побочные электромагнитные излучения и наводки;

НСД — несанкционированный доступ;

НИР — научно-исследовательская работа;

ФАПСИ — Федеральное агентство правительственной связи и информации.

http://iso27000.ru/standarty/gost-r-nacionalnye-standarty-rossiiskoi-federacii-v-oblasti-zaschity-informacii/gost-r-51583-2000-poryadok-sozdaniya-avtomatizirovannyh-sistem-v-zaschischennom-ispolnenii

Классификация ИСПДн

Классификация информационных систем персональных данных (ИСПДн) определяется Приказом ФСТЭК России, ФСБ России, Мининформсвязи России от 13 февраля 2008 г. № 55/86/20 «Об утверждении Порядка проведения классификации информационных систем персональных данных».

Следующая информация приведена в соответствии с данным приказом.

Классификация ИСПДн включает в себя следующие этапы:

• сбор и анализ исходных данных по информационной системе;
• присвоение информационной системе соответствующего класса и его документальное оформление.

Категории информации

Информация, обрабатываемая в ИСПДн может быть отнесена к одной из следующих 4 категорий:

• категория 1 - персональные данные, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных и философских убеждений, состояния здоровья, интимной жизни;
• категория 2 - персональные данные, позволяющие идентифицировать субъекта персональных данных и получить о нем дополнительную информацию, за исключением персональных данных, относящихся к категории 1;
• категория 3 - персональные данные, позволяющие идентифицировать субъекта персональных данных;
• категория 4 - обезличенные и (или) общедоступные персональные данные

Классификация по масштабу ИСПДн

По объему обрабатываемых персональных данных (количество субъектов персональных данных, персональные данные которых обрабатываются в информационной системе), ИСПДн делятся на 3 подкласса (Хнпд):

1. в информационной системе одновременно обрабатываются персональные данные более чем 100 000 субъектов персональных данных или персональные данные субъектов персональных данных в пределах субъекта Российской Федерации или Российской Федерации в целом;
2. в информационной системе одновременно обрабатываются персональные данные от 1000 до 100 000 субъектов персональных.данных или персональные данные субъектов персональных данных, работающих в отрасли экономики Российской Федерации, в органе государственной власти, проживающих в пределах муниципального образования;
3. в информационной системе одновременно обрабатываются данные менее чем 1000 субъектов персональных данных или персональные данные субъектов персональных данных в пределах конкретной организации.

Типовые и специальные ИСПДн.

По заданным оператором ПДн характеристикам безопасности обрабатываемой информации ИСПДн подразделяются на типовые и специальные.

«Типовые информационные системы - информационные системы, в которых требуется обеспечение только конфиденциальности персональных данных.
Специальные информационные системы - информационные системы, в которых вне зависимости от необходимости обеспечения конфиденциальности персональных данных требуется обеспечить хотя бы одну из характеристик безопасности персональных данных, отличную от конфиденциальности (защищенность от уничтожения, изменения, блокирования, а также иных несанкционированных действий).

К специальным информационным системам должны быть отнесены:

• информационные системы, в которых обрабатываются персональные данные, касающиеся состояния здоровья субъектов персональных данных;
• информационные системы, в которых предусмотрено принятие на основании исключительно автоматизированной обработки персональных данных решений, порождающих юридические последствия в отношении субъекта персональных данных или иным образом затрагивающих его права и законные интересы».

Типовым ИСПДн могут быть присвоены следующие классы:

• класс 1 (К1) - информационные системы, для которых нарушение заданной характеристики безопасности персональных данных, обрабатываемых в них, может привести к значительным негативным последствиям для субъектов персональных данных;
• класс 2 (К2) - информационные системы, для которых нарушение заданной характеристики безопасности персональных данных, обрабатываемых в них, может привести к негативным последствиям для субъектов персональных данных;
• класс 3 (К3) - информационные системы, для которых нарушение заданной характеристики безопасности персональных данных, обрабатываемых в них, может привести к незначительным негативным последствиям для субъектов персональных данных;
• класс 4 (К4) - информационные системы, для которых нарушение заданной характеристики безопасности персональных данных, обрабатываемых в них, не приводит к негативным последствиям для субъектов персональных данных.

Данные классы определяются, исходя из таблицы, в которой в качестве исходных данных присутствует масштаб системы ИСПДн (Хнпд) и категория обрабатываемой информации (Хпд):

		Xнпд
		3	2	1
Xпд	Категория 4	К4	К4	К4
	Категория 3	К3	К3	К2
	Категория 2	К3	К2	К1
	Категория 1	К1	К1	К1

Кроме того ИСПДн имеют еще несколько критериев классификации.

В соответствии с п.2 Приказа «классификация информационных систем проводится государственными органами, муниципальными органами, юридическими и физическими лицами, организующими и (или) осуществляющими обработку персональных данных, а также определяющими цели и содержание обработки персональных данных» - то есть операторами персональных данных.

терминология ИБ

НСД - несанкционированный доступ, защита от несанкционированного доступа

СКЗИ - средства криптографической защиты информации

МСЭ - межсетевой экран

СЗИ - средства защиты информации (общее)

СЗПДн - система защиты персональных данных

AC — автоматизированная система;

АСЗИ — автоматизированная система в защищенном исполнении;

ЗИ — защита информации;

НД — нормативный документ;

ЧТЗ — частное техническое задание;

ШС — шифровальное средство;

ТС — технические средства;

ПС — программные средства;

СрЗИ — средство защиты информации;

СиЗИ — система защиты информации;

СВТ — средство вычислительной техники;

ПЭМИН — побочные электромагнитные излучения и наводки;

НИР — научно-исследовательская работа;