ЗАЩИТА ИНФОРМАЦИИ ПО ПОЛОЧКАМ
description
Transcript of ЗАЩИТА ИНФОРМАЦИИ ПО ПОЛОЧКАМ
ЗАЩИТА ИНФОРМАЦИИ ПО ПОЛОЧКАМ
ООО «Смолтелеком»Фомченков Сергей
ЗАЩИТА ИНФОРМАЦИИ ПО ПОЛОЧКАМ
Федеральный закон от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации»
Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных»
Нормативные, руководящие и методических документах ФСТЭК России
Нормативные, руководящие и методических документах и ФСБ России
Государственные стандарты
Законодательство в сфере защиты информации
ЗАЩИТА ИНФОРМАЦИИ ПО ПОЛОЧКАМ
КАК ОРГАНИЗОВАТЬ МЕРОПРИЯТИЯ ПО ЗАЩИТЕ ИНФОРМАЦИИ?
КАКИЕ НЕОБХОДИМО ПРИНЯТЬ МЕРЫ?
С ЧЕГО НАЧАТЬ?
ЗАЩИТА ИНФОРМАЦИИ ПО ПОЛОЧКАМ
ПОЛОЧКА 1. ОПРЕДЕЛЕНИЕ ЛИЦ, ОТВЕЧАЮЩИХ ЗА ВЫПОЛНЕНИЕ ТРЕБОВАНИЙ УСТАНОВЛЕННЫХ К ОБРАБОТКЕ И ОБЕСПЕЧЕНИЮ БЕЗОПАСНОСТИ ПДН
Ответственный за организацию обработки ПДн (Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных» ст. 18.1, ч.1, п.1)
Комиссия по обеспечению безопасности ПДнфункции комиссии: проведение внутреннего аудита и инвентаризации информационных ресурсов; определение оценки вреда, который может быть причинен субъектам ПДн; построение модели угроз безопасности ПДн.
Локальные акты: Приказ о назначении ответственного за организацию обработки ПДн; Должностные обязанности ответственного за организацию обработки ПДн; Приказ о создании комиссии по обеспечению безопасности ПДн; Положение о комиссии по обеспечению безопасности ПДн.
ЗАЩИТА ИНФОРМАЦИИ ПО ПОЛОЧКАМ
ПОЛОЧКА 2. ПОЛИТИКА ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
Определить политику в отношении обработки ПДн (Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных» ст. 18.1, ч.1, п.2) ГОСТ Р ИСО/МЭК 17799-2005 «Информационная технология. Практические правила управления
информационной безопасностью»; ГОСТ Р ИСО/МЭК 13335-1-2006 «Информационная технология. Методы и средства обеспечения
безопасности. Часть 1. Концепция и модели менеджмента безопасности информационных и телекоммуникационных технологий»;
ГОСТ Р ИСО/МЭК 13335-3-2007 «Информационная технология. Методы и средства обеспечения безопасности. Часть 3. Методы менеджмента безопасности информационных технологий»
Данная политика должна быть опубликована или иным способом сделана общедоступной
Локальные акты: Политику оператора в отношении обработки и обеспечения безопасности
ПДн; План мероприятий обеспечению безопасности ПДн (по реализации
политики)
ЗАЩИТА ИНФОРМАЦИИ ПО ПОЛОЧКАМ
ПОЛОЧКА 3. АУДИТ, ИНВЕНТАРИЗАЦИЯ И КЛАССИФИКАЦИЯ АКТИВОВ
Все основные информационные активы должны быть учтены и закреплены за ответственными владельцами (ГОСТ Р ИСО/МЭК 17799-2005 , ГОСТ Р ИСО/МЭК 13335-1-2006, ГОСТ Р ИСО/МЭК 13335-3-2007)
Локальные акты: Перечень ПДн с указанием:
– цели обработки и основания для обработки;– состава ПДн;– количества субъектов ПДн;– типа обработки ПДн (автоматизированная, неавтоматизированная, смешанная);– типа ПДн (специальные, биометрические, общедоступные, иные персональные данные,
персональные данные сотрудников);– сроков хранения, места обработки (хранения) ПДн.
Перечень лиц, допущенных к обработке ПДн, с указанием к каким ПДн имеют доступ;
Перечень помещений, в которых ведется обработка ПДн; Перечень ИСПДн; и прочие.
ЗАЩИТА ИНФОРМАЦИИ ПО ПОЛОЧКАМ
ПОЛОЧКА 4. ВЫПОЛНЕНИЕ СПЕЦИФИЧЕСКИХ ТРЕБОВАНИЙ РЕЖИМА ПДН
Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных»; Постановление Правительства Российской Федерации от 15.09.2008 № 687
«Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»;
Постановление Правительства Российской Федерации от 6.06.2008 №512 «Об утверждении требований к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных»
Постановление Правительства Российской Федерации № 211 от 21.03.2012 «Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами»
ЗАЩИТА ИНФОРМАЦИИ ПО ПОЛОЧКАМ
ПОЛОЧКА 4. ВЫПОЛНЕНИЕ СПЕЦИФИЧЕСКИХ ТРЕБОВАНИЙ РЕЖИМА ПДН
Локальные акты: Положение о порядке обработки ПДн; Регламент рассмотрения запросов субъектов ПДн или их представителей с типовыми
формами запросов и ответов; Журнал учета запросов субъектов ПДн; Уведомление о намерении осуществлять обработку ПДн; Типовые формы согласий на обработку ПДн (субъекта, представителя субъекта) для
каждой цели обработки; Типовой раздел для договоров с третьими лицами о соблюдение
конфиденциальности ПДн; Типовая форма разъяснения субъекту ПДН юридических последствий отказа
предоставить свои ПДн; Порядок обработки ПДн без использования средств автоматизации; Типовые формы документов, содержащих ПДн; Порядок работы с обезличенными данными; Перечень должностей служащих государственного или муниципального органа,
ответственных за проведение мероприятий по обезличиванию обрабатываемых ПДн; Порядок обращения с биометрическими ПДн; Журнал учета материальных носителей с биометрическими ПДн; и д.р.
ЗАЩИТА ИНФОРМАЦИИ ПО ПОЛОЧКАМ
ПОЛОЧКА 5. ОЦЕНКА ВРЕДА, ОПРЕДЕЛЕНИЕ УГРОЗ БЕЗОПАСНОСТИ И НЕОБХОДИМОГО УРОВНЯ ЗАЩИЩЕННОСТИ
В соответствии с Федерального закона «О персональных данных» оператор обязан провести:
оценку вреда, который может быть причинен субъектам ПДн в случае нарушения закона, соотношение указанного вреда и принимаемых оператором мер, направленных на обеспечение выполнения обязанностей, предусмотренных законом;
определение угроз безопасности ПДн при их обработке в ИСПДн; определение необходимого уровня защищенности ПДн.
ЗАЩИТА ИНФОРМАЦИИ ПО ПОЛОЧКАМ
ПОЛОЧКА 5. ОЦЕНКА ВРЕДА, ОПРЕДЕЛЕНИЕ УГРОЗ БЕЗОПАСНОСТИ И НЕОБХОДИМОГО УРОВНЯ ЗАЩИЩЕННОСТИ
ГОСТ Р 51901.1-2002 «Менеджмент риска. Анализ риска технологических систем»;
ГОСТ Р ИСО/МЭК 27005-2010 – «Информационная технология. Методы и средства обеспечения безопасности. Менеджмент риска информационной безопасности».
ЗАЩИТА ИНФОРМАЦИИ ПО ПОЛОЧКАМ
ПОЛОЧКА 5. ОЦЕНКА ВРЕДА, ОПРЕДЕЛЕНИЕ УГРОЗ БЕЗОПАСНОСТИ И НЕОБХОДИМОГО УРОВНЯ ЗАЩИЩЕННОСТИ
Для определения актуальных угроз безопасности ПДн, оператором проводится разработка модели угроз безопасности ПДн в соответствии с существующими методиками и государственными стандартами. Базовая модель угроз безопасности персональных данных при их обработке в
информационных системах персональных данных (выписка). ФСТЭК России Методика определения актуальных угроз безопасности персональных данных при их
обработке в информационных системах персональных данных ФСТЭК России Отраслевая модель угроз безопасности персональных данных при их обработке в
информационных системах персональных данных Операторов связи РС БР ИББС -2.4-2010 - Обеспечение информационной безопасности организаций банковской
системы Российской Федерации. Отраслевая частная модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных
ГОСТ Р ИСО/МЭК 27005-2010 – «Информационная технология. Методы и средства обеспечения безопасности. Менеджмент риска информационной безопасности».
ГОСТ Р ИСО/МЭК 13335-3-2007 «Информационная технология. Методы и средства обеспечения безопасности. Часть 3. Методы менеджмента безопасности информационных технологий»
ЗАЩИТА ИНФОРМАЦИИ ПО ПОЛОЧКАМ
ПОЛОЧКА 5. ОЦЕНКА ВРЕДА, ОПРЕДЕЛЕНИЕ УГРОЗ БЕЗОПАСНОСТИ И НЕОБХОДИМОГО УРОВНЯ ЗАЩИЩЕННОСТИ
Постановление Правительства РФ от 1 ноября 2012 г. №1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»
ЗАЩИТА ИНФОРМАЦИИ ПО ПОЛОЧКАМ
ПОЛОЧКА 5. ОЦЕНКА ВРЕДА, ОПРЕДЕЛЕНИЕ УГРОЗ БЕЗОПАСНОСТИ И НЕОБХОДИМОГО УРОВНЯ ЗАЩИЩЕННОСТИ
Локальные акты:
Протокол (акт, отчет) оценки вреда, который может быть причинен субъектам ПДн ;
Частная модель угроз безопасности ПДн (как правило для каждой ИСПДн);
Акт определения уровня защищенности ПДн при их обработке в ИСПДн.
ЗАЩИТА ИНФОРМАЦИИ ПО ПОЛОЧКАМ
ПОЛОЧКА 6. ОПРЕДЕЛЕНИЕ ЗАЩИТНЫХ МЕР
Постановление Правительства РФ от 1 ноября 2012 г. №1119 Нормативные документы ФСТЭК России и ФСБ России ГОСТ Р ИСО/МЭК ТО 13335-4-2007 «Информационная технология. Методы и
средства обеспечения безопасности. Часть 4. Выбор защитных мер». Информационное письмо ФСТЭК России «Об особенностях защиты ПДн при
их обработке в ИСПДн и сертификации СЗИ, предназначенных для защиты ПДн» от 20 ноября 2012 г. № 240/24/4669
Локальные акты: Техническое задание на создание системы защиты ПДн (СЗПДн); Технический проект СЗПДн.• ГОСТ Р 51583-2000. «Порядок создания автоматизированных систем в защищённом исполнении. • ГОСТ Р 51624-2000. «Автоматизированные системы в защищённом исполнении. Общие требования»;• ГОСТ 34.201 «Виды, комплектность и обозначение документов при создании автоматизированных систем»;• ГОСТ 34.601 «Информационная технология. Автоматизированные системы. Стадии создания».;• РД 50-34.698-90 «Автоматизированные системы. Требования к содержанию документов».
ЗАЩИТА ИНФОРМАЦИИ ПО ПОЛОЧКАМ
ПОЛОЧКА 7. ПЕРСОНАЛ. ОБЯЗАННОСТИ. ОТВЕТСТВЕННОСТЬ.
Следует определить обязанности по защите отдельных активов и по выполнению конкретных процедур, связанных с информационной безопасностью
Кроме этого, должна быть четко определена конкретная персональная ответственность в отношении отдельных материальных и информационных активов и процессов, связанных с информационной безопасностью.
Ответственные сотрудники должны иметь достаточную квалификацию.
При необходимости следует организовать их обучение.
Должны быть разработаны и утверждены должностные обязанности, инструкции, приказы связанные с обеспечением безопасности ПДн
ЗАЩИТА ИНФОРМАЦИИ ПО ПОЛОЧКАМ
ПОЛОЧКА 7. ПЕРСОНАЛ. ОБЯЗАННОСТИ. ОТВЕТСТВЕННОСТЬ.
Локальные акты: Приказ о допуске сотрудников к обработке ПДн; Должностные инструкции сотрудников, обрабатывающих ПДн Приказ о назначение ответственного за обеспечение безопасности ПДн и его
должностные обязанности; Приказ о назначение администратора безопасности и его должностные
обязанности; Приказ о назначение администратора ИСПДн и его должностные обязанности; Перечень лиц допущенных в помещения, где ведется обработка ПДн; Инструкция о порядке использования СКЗИ; Приказ о назначении ответственного за СКЗИ; Перечень лиц допущенных к работе с СКЗИ; Обязательство о неразглашении информации для сотрудников; Регламент проведения инструктажа по информационной безопасности; Журнал учета инструктажа сотрудников по вопросам обработки и обеспечению
безопасности ПДн; и д.р.
ЗАЩИТА ИНФОРМАЦИИ ПО ПОЛОЧКАМ
ПОЛОЧКА 8. РЕАЛИЗАЦИЯ ЗАЩИТНЫХ МЕР. ВНЕДРЕНИЕ СИСТЕМЫ ЗАЩИТЫ ИНФОРМАЦИИ.
Проводятся мероприятия по установке и настройке средств защиты информации, внедрение организационных мер, положений, регламентов, инструкций и журналов Локальные акты: Положения о пропускном режиме и о контролируемой зоне; Порядок доступа в помещения; Положения (инструкции) об антивирусной защите, о парольной защите; Регламент резервного копирования и восстановления; Журнал учета носителей ПДн; Регламент предоставления и изменения прав доступа к ресурсам и матрица доступа; Порядок учета и журнал учета СЗИ; Порядок учета, хранения, уничтожения документов и электронных носителей
содержащих ПДн; Инструкция по работе в сетях общего пользования; Технический паспорт на каждую ИСПДн; Акты установки СЗИ; Приказы о вводе в эксплуатация ИСПДн и СЗПДн и др.
ЗАЩИТА ИНФОРМАЦИИ ПО ПОЛОЧКАМ
ПОЛОЧКА 9. КОНТРОЛЬ
В организации должен осуществляться контроль за принимаемыми мерами по обеспечению безопасности ПДн и установленным уровнем защищенности ИСПДн.Периодичность проведения контроля выбирается в зависимости от объективных факторов, но, как правило, не реже 1-го раза в год
В соответствии с п.17 Постановления Правительства РФ от 1 ноября 2012 г. №1119, не реже 1 раза в 3 года оператором самостоятельно и (или) с привлечением на договорной основе организаций, имеющих лицензию на осуществление деятельности по ТЗКИ организуется и проводится контроль за выполнением требований указанного постановления
Локальные акты: Положение (Инструкция) о порядке проведения внутреннего контроля; Журнал учета мероприятий по контролю;
ЗАЩИТА ИНФОРМАЦИИ ПО ПОЛОЧКАМ
ПОЛОЧКА 10 КОРРЕКТИРОВКА ПРИНЯТЫХ МЕР ИЛИ ВСЕ СНАЧАЛА
С целью поддержания работоспособности системы защиты информации необходимо: вносить изменения в приказы и перечни в связи с кадровыми
перестановками; проводить мониторинг изменений законодательства в сфере ПДн и защиты
информации; вносить изменения в организационные, технические и проектные
документы, в связи с изменением структуры данных или информационных систем;
ежегодно проводить повторный аудит и инвентаризацию.
ГОСТ Р ИСО/МЭК 27001-2006- «Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования»
ООО «Смолтелеком» осуществляет весь спектр работ по защите информации:
Аудит организаций и информационных систем
Разработка локальных документов для выполнения требований ФЗ №152
Разработка технический проектов систем защиты информации
Оценка вреда субъекту персональных данных
Модель угроз безопасности
Настройка и внедрение средств защиты информации
Аттестация информационных систем с конфиденциальной информацией
Аутсорсинг и полное сопровождение безопасности организаций
ЗАЩИТА ИНФОРМАЦИИ ПО ПОЛОЧКАМ
Лицензия ФСТЭК России КИ 0079 003948Лицензия ФСБ России ЛСЗ 0002555
СПАСИБО ЗА ВНИМАНИЕООО «Смолтелеком»
Отдел защищенного электронного документооборота
www.smoltelecom.ru(4812) 32-88-01