1 / 21

ЗАЩИТА ИНФОРМАЦИИ ПО ПОЛОЧКАМ

ЗАЩИТА ИНФОРМАЦИИ ПО ПОЛОЧКАМ. ООО « Смолтелеком » Фомченков Сергей. ЗАЩИТА ИНФОРМАЦИИ ПО ПОЛОЧКАМ. Законодательство в сфере защиты информации. Федеральный закон от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации ».

baris
Download Presentation

ЗАЩИТА ИНФОРМАЦИИ ПО ПОЛОЧКАМ

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. ЗАЩИТА ИНФОРМАЦИИ ПО ПОЛОЧКАМ ООО «Смолтелеком» Фомченков Сергей

  2. ЗАЩИТА ИНФОРМАЦИИ ПО ПОЛОЧКАМ Законодательство в сфере защиты информации • Федеральный закон от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации» • Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных» • Нормативные, руководящие и методических документах ФСТЭК России • Нормативные, руководящие и методических документах и ФСБ России • Государственные стандарты

  3. ЗАЩИТА ИНФОРМАЦИИ ПО ПОЛОЧКАМ • КАК ОРГАНИЗОВАТЬ МЕРОПРИЯТИЯ ПО ЗАЩИТЕ ИНФОРМАЦИИ? • КАКИЕ НЕОБХОДИМО ПРИНЯТЬ МЕРЫ? • С ЧЕГО НАЧАТЬ?

  4. ЗАЩИТА ИНФОРМАЦИИ ПО ПОЛОЧКАМ • Ответственный за организацию обработки ПДн (Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных» ст.18.1, ч.1, п.1) • Комиссия по обеспечению безопасности ПДн функции комиссии: • проведение внутреннего аудита и инвентаризации информационных ресурсов; • определение оценки вреда, который может быть причинен субъектам ПДн; • построение модели угроз безопасности ПДн. Локальные акты: • Приказ о назначении ответственного за организацию обработки ПДн; • Должностные обязанности ответственного за организацию обработки ПДн; • Приказ о создании комиссии по обеспечению безопасности ПДн; • Положение о комиссии по обеспечению безопасности ПДн.

  5. ЗАЩИТА ИНФОРМАЦИИ ПО ПОЛОЧКАМ • Определить политику в отношении обработки ПДн(Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных» ст.18.1, ч.1, п.2) • ГОСТ Р ИСО/МЭК 17799-2005 «Информационная технология. Практические правила управления информационной безопасностью»; • ГОСТ Р ИСО/МЭК 13335-1-2006 «Информационная технология. Методы и средства обеспечения безопасности. Часть 1. Концепция и модели менеджмента безопасности информационных и телекоммуникационных технологий»; • ГОСТ Р ИСО/МЭК 13335-3-2007 «Информационная технология. Методы и средства обеспечения безопасности. Часть 3. Методы менеджмента безопасности информационных технологий» • Данная политика должна быть опубликована или иным способом сделана общедоступной Локальные акты: • Политику оператора в отношении обработки и обеспечения безопасности ПДн; • План мероприятий обеспечению безопасности ПДн (по реализации политики)

  6. ЗАЩИТА ИНФОРМАЦИИ ПО ПОЛОЧКАМ • Все основные информационные активы должны быть учтены и закреплены за ответственными владельцами (ГОСТ Р ИСО/МЭК 17799-2005 , ГОСТ Р ИСО/МЭК 13335-1-2006, ГОСТ Р ИСО/МЭК 13335-3-2007) Локальные акты: • Перечень ПДн с указанием: • цели обработки и основания для обработки; • состава ПДн; • количества субъектов ПДн; • типа обработки ПДн (автоматизированная, неавтоматизированная, смешанная); • типа ПДн (специальные, биометрические, общедоступные, иные персональные данные, персональные данные сотрудников); • сроков хранения, места обработки (хранения) ПДн. • Перечень лиц, допущенных к обработке ПДн, с указанием к каким ПДн имеют доступ; • Перечень помещений, в которых ведется обработка ПДн; • Перечень ИСПДн; и прочие.

  7. ЗАЩИТА ИНФОРМАЦИИ ПО ПОЛОЧКАМ • Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных»; • Постановление Правительства Российской Федерации от 15.09.2008 № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»; • Постановление Правительства Российской Федерации от 6.06.2008 №512 «Об утверждении требований к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных» • Постановление Правительства Российской Федерации № 211 от 21.03.2012 «Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами»

  8. ЗАЩИТА ИНФОРМАЦИИ ПО ПОЛОЧКАМ Локальные акты: • Положение о порядке обработки ПДн; • Регламент рассмотрения запросов субъектов ПДн или их представителей с типовыми формами запросов и ответов; • Журнал учета запросов субъектов ПДн; • Уведомление о намерении осуществлять обработку ПДн; • Типовые формы согласий на обработку ПДн (субъекта, представителя субъекта) для каждой цели обработки; • Типовой раздел для договоров с третьими лицами о соблюдение конфиденциальности ПДн; • Типовая форма разъяснения субъекту ПДН юридических последствий отказа предоставить свои ПДн; • Порядок обработки ПДн без использования средств автоматизации; • Типовые формы документов, содержащих ПДн; • Порядок работы с обезличенными данными; • Перечень должностей служащих государственного или муниципального органа, ответственных за проведение мероприятий по обезличиванию обрабатываемых ПДн; • Порядок обращения с биометрическими ПДн; • Журнал учета материальных носителей с биометрическими ПДн; и д.р.

  9. ЗАЩИТА ИНФОРМАЦИИ ПО ПОЛОЧКАМ В соответствии с Федерального закона «О персональных данных» оператор обязан провести: • оценку вреда, который может быть причинен субъектам ПДн в случае нарушения закона, соотношение указанного вреда и принимаемых оператором мер, направленных на обеспечение выполнения обязанностей, предусмотренных законом; • определение угроз безопасности ПДн при их обработке в ИСПДн; • определение необходимого уровня защищенности ПДн.

  10. ЗАЩИТА ИНФОРМАЦИИ ПО ПОЛОЧКАМ • ГОСТ Р 51901.1-2002 «Менеджмент риска. Анализ риска технологических систем»; • ГОСТ Р ИСО/МЭК 27005-2010 – «Информационная технология. Методы и средства обеспечения безопасности. Менеджмент риска информационной безопасности».

  11. ЗАЩИТА ИНФОРМАЦИИ ПО ПОЛОЧКАМ Для определения актуальных угроз безопасности ПДн, оператором проводится разработка модели угроз безопасности ПДн в соответствии с существующими методиками и государственными стандартами. • Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных (выписка). ФСТЭК России • Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных ФСТЭК России • Отраслевая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных Операторов связи • РС БР ИББС -2.4-2010 - Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Отраслевая частная модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных • ГОСТ Р ИСО/МЭК 27005-2010 – «Информационная технология. Методы и средства обеспечения безопасности. Менеджмент риска информационной безопасности». • ГОСТ Р ИСО/МЭК 13335-3-2007 «Информационная технология. Методы и средства обеспечения безопасности. Часть 3. Методы менеджмента безопасности информационных технологий»

  12. ЗАЩИТА ИНФОРМАЦИИ ПО ПОЛОЧКАМ Постановление Правительства РФ от 1 ноября 2012 г. №1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»

  13. ЗАЩИТА ИНФОРМАЦИИ ПО ПОЛОЧКАМ Локальные акты: • Протокол (акт, отчет) оценки вреда, который может быть причинен субъектам ПДн ; • Частная модель угроз безопасности ПДн (как правило для каждой ИСПДн); • Акт определения уровня защищенности ПДн при их обработке в ИСПДн.

  14. ЗАЩИТА ИНФОРМАЦИИ ПО ПОЛОЧКАМ • Постановление Правительства РФ от 1 ноября 2012 г. №1119 • Нормативные документы ФСТЭК России и ФСБ России • ГОСТ Р ИСО/МЭК ТО 13335-4-2007 «Информационная технология. Методы и средства обеспечения безопасности. Часть 4. Выбор защитных мер». • Информационное письмо ФСТЭК России «Об особенностях защиты ПДн при их обработке в ИСПДн и сертификации СЗИ, предназначенных для защиты ПДн» от 20 ноября  2012 г. № 240/24/4669 Локальные акты: • Техническое задание на создание системы защиты ПДн (СЗПДн); • Технический проект СЗПДн. • ГОСТ Р 51583-2000. «Порядок создания автоматизированных систем в защищённом исполнении. • ГОСТ Р 51624-2000. «Автоматизированные системы в защищённом исполнении. Общие требования»; • ГОСТ 34.201 «Виды, комплектность и обозначение документов при создании автоматизированных систем»; • ГОСТ 34.601 «Информационная технология. Автоматизированные системы. Стадии создания».; • РД 50-34.698-90 «Автоматизированные системы. Требования к содержанию документов».

  15. ЗАЩИТА ИНФОРМАЦИИ ПО ПОЛОЧКАМ • Следует определить обязанности по защите отдельных активов и по выполнению конкретных процедур, связанных с информационной безопасностью • Кроме этого, должна быть четко определена конкретная персональная ответственность в отношении отдельных материальных и информационных активов и процессов, связанных с информационной безопасностью. • Ответственные сотрудники должны иметь достаточную квалификацию. • При необходимости следует организовать их обучение. • Должны быть разработаны и утверждены должностные обязанности, инструкции, приказы связанные с обеспечением безопасности ПДн

  16. ЗАЩИТА ИНФОРМАЦИИ ПО ПОЛОЧКАМ Локальные акты: • Приказ о допуске сотрудников к обработке ПДн; • Должностные инструкции сотрудников, обрабатывающих ПДн • Приказ о назначение ответственного за обеспечение безопасности ПДн и его должностные обязанности; • Приказ о назначение администратора безопасности и его должностные обязанности; • Приказ о назначение администратора ИСПДн и его должностные обязанности; • Перечень лиц допущенных в помещения, где ведется обработка ПДн; • Инструкция о порядке использования СКЗИ; • Приказ о назначении ответственного за СКЗИ; • Перечень лиц допущенных к работе с СКЗИ; • Обязательство о неразглашении информации для сотрудников; • Регламент проведения инструктажа по информационной безопасности; • Журнал учета инструктажа сотрудников по вопросам обработки и обеспечению безопасности ПДн; и д.р.

  17. ЗАЩИТА ИНФОРМАЦИИ ПО ПОЛОЧКАМ Проводятся мероприятия по установке и настройке средств защиты информации, внедрение организационных мер, положений, регламентов, инструкций и журналов Локальные акты: • Положения о пропускном режиме и о контролируемой зоне; • Порядок доступа в помещения; • Положения (инструкции) об антивирусной защите, о парольной защите; • Регламент резервного копирования и восстановления; • Журнал учета носителей ПДн; • Регламент предоставления и изменения прав доступа к ресурсам и матрица доступа; • Порядок учета и журнал учета СЗИ; • Порядок учета, хранения, уничтожения документов и электронных носителей содержащих ПДн; • Инструкция по работе в сетях общего пользования; • Технический паспорт на каждую ИСПДн; • Акты установки СЗИ; • Приказы о вводе в эксплуатация ИСПДн и СЗПДн • и др.

  18. ЗАЩИТА ИНФОРМАЦИИ ПО ПОЛОЧКАМ В организации должен осуществляться контроль за принимаемыми мерами по обеспечению безопасности ПДн и установленным уровнем защищенности ИСПДн. Периодичность проведения контроля выбирается в зависимости от объективных факторов, но, как правило, не реже 1-го раза в год В соответствии с п.17 Постановления Правительства РФ от 1 ноября 2012 г. №1119, не реже 1 раза в 3 года оператором самостоятельно и (или) с привлечением на договорной основе организаций, имеющих лицензию на осуществление деятельности по ТЗКИ организуется и проводится контроль за выполнением требований указанного постановления Локальные акты: • Положение (Инструкция) о порядке проведения внутреннего контроля; • Журнал учета мероприятий по контролю;

  19. ЗАЩИТА ИНФОРМАЦИИ ПО ПОЛОЧКАМ С целью поддержания работоспособности системы защиты информации необходимо: • вносить изменения в приказы и перечни в связи с кадровыми перестановками; • проводить мониторинг изменений законодательства в сфере ПДн и защиты информации; • вносить изменения в организационные, технические и проектные документы, в связи с изменением структуры данных или информационных систем; • ежегодно проводить повторный аудит и инвентаризацию. ГОСТ Р ИСО/МЭК 27001-2006- «Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования»

  20. ЗАЩИТА ИНФОРМАЦИИ ПО ПОЛОЧКАМ • ООО «Смолтелеком» осуществляет весь спектр работ по защите информации: • Аудит организаций и информационных систем • Разработка локальных документов для выполнения требований ФЗ №152 • Разработка технический проектов систем защиты информации • Оценка вреда субъекту персональных данных • Модель угроз безопасности • Настройка и внедрение средств защиты информации • Аттестация информационных систем с конфиденциальной информацией • Аутсорсинг и полное сопровождение безопасности организаций Лицензия ФСТЭК России КИ 0079 003948 Лицензия ФСБ России ЛСЗ 0002555

  21. СПАСИБО ЗА ВНИМАНИЕ ООО «Смолтелеком» Отдел защищенного электронного документооборота www.smoltelecom.ru (4812) 32-88-01

More Related