Loading presentation...

Present Remotely

Send the link below via email or IM

Copy

Present to your audience

Start remote presentation

  • Invited audience members will follow you as you navigate and present
  • People invited to a presentation do not need a Prezi account
  • This link expires 10 minutes after you close the presentation
  • A maximum of 30 users can follow your presentation
  • Learn more about this feature in our knowledge base article

Do you really want to delete this prezi?

Neither you, nor the coeditors you shared it with will be able to recover it again.

DeleteCancel

Make your likes visible on Facebook?

Connect your Facebook account to Prezi and let your likes appear on your timeline.
You can change this under Settings & Account at any time.

No, thanks

Организация Защиты ПДн в ГУ

No description
by

Sergey Kupelsky

on 15 April 2015

Comments (0)

Please log in to add your comment.

Report abuse

Transcript of Организация Защиты ПДн в ГУ

Классификация ИС оператора как ИСПДн (
приказ ФСТЭК России, ФСБ России, Мининформсвязи России от 13.02.2008 N 55/86/20 "Об утверждении Порядка проведения классификации информационных систем персональных данных"
)
Терминология
Автоматизированная система
Администратор безопасности информации (администратор безопасности)
Администратор информационной системы персональных данных
Обладатель информации (информационного ресурса)
Доступ к информации
Информационная система персональных данных (ИСПДн)
Инцидент информационной безопасности
Контролируемая зона
Конфиденциальность персональных данных
Несанкционированный доступ (несанкционированные действия)
Организационно-распорядительная документация ИСПДн
Руководящие документы по безопасности информации
Технические средства, позволяющие осуществлять обработку персональных данных
Угроза безопасности персональных данных
Субъект доступа (субъект)
Перечень руководящих документов
Федеральный закон от 27.07.2006 N 152-ФЗ "О персональных данных"
постановление Правительства Российской Федерации от 01.11.2012 N 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных"
постановление Правительства Российской Федерации от 21.03.2012 N 211 "Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами"
Положение о методах и способах защиты информации в информационных системах персональных данных, утвержденное приказом ФСТЭК России от 05.02.2010 N 58
Порядок проведения классификации информационных систем персональных данных. Совместный приказ ФСТЭК России, ФСБ России и Мининформсвязи России от 13.02.2008 N 55/86/20
Специальные требования и рекомендации по технической защите конфиденциальной информации (СТР-К), утвержденные приказом Гостехкомиссии России от 30.08.2002 N 282
Назначение ответственных
для каждого этапа работ
за организацию обработки ПДн
администратора безопасности
за эксплуатацию ИСПДн
за резервное копирование в АС
учет носителей
учет доступа по СКУД
привлечение внешних специалистов
для оценки эффективности
проведения аттестации
+
порядок взаимодействия между ответственными за обеспечение безопасности ПДн и эксплуатирующими подразделениями (администраторами) по вопросам обеспечения безопасности ПДн
Оценка эффективности
внутренний внешний контроль
внешний внешний контроль
Организационные меры
Технические меры
Положения об особенностях обработки персональных данных, осуществляемой
без использования средств автоматизации, утвержденного постановлением
Правительства Российской Федерации от 15.09.2008 N 687.
Проведение предпроектного обследования ИСПДн
разработка и реализация СЗПДн
определение для каждой ИСПДн перечень ПДн, цели и основание обработки ПДн, срок хранения и условия прекращения обработки
- сбор и анализ исходных данных по ИС;

- присвоение ИС соответствующего класса и
его документальное оформление

- заданные оператором характеристики безопасности ПДн, обрабатываемых в ИС;

- структура ИС;

- наличие подключений ИС к сетям связи общего пользования и (или) сетям международного информационного обмена;

- режим обработки ПДн;

- режим разграничения прав доступа пользователей ИС;

- местонахождение технических средств ИС
Ввод в действие и эксплуатация СЗПДн

- предпроектная стадия (+ №94-ФЗ);

- стадия проектирования (разработки проектов) и реализации ИСПДн;

- стадия ввода в действие СЗПДн.

https://docs.google.com/drawings/d/1BEn50KuKlhHOk8M4ZNemqhYVStlSaJhWH_J9htcCGIw/edit?usp=sharing
Реализуется после момента вступления в силу распоряжения, приказа соответствующего ведомства



Взаимодействие с РКН
Назначение ответственных
за прием
за обработку
за конроль приема и обработки

Организация контроля за состоянием защиты
- сбор, обобщение и анализ информации о состоянии системы защиты конфиденциальной информации предприятия;
- анализ состояния дел в области защиты информации в структурных подразделениях;
- проверка наличия носителей конфиденциальной информации;
- проверка соблюдения всеми гражданскими служащими норм и правил, устанавливающих порядок обращения с носителями конфиденциальной информации;
- выявление угроз защите конфиденциальной информации и выработка мер по их нейтрализации;
- анализ полноты и качества выполнения спланированных мероприятий по защите информации в ходе деятельности министерства;
- оказание практической помощи должностным лицам в устранении нарушений требований нормативно-методических документов;
- применение мер административной и дисциплинарной ответственности к лицам, нарушающим требования по порядку обращения с носителями конфиденциальной информации;
- проверка эффективности мер по защите конфиденциальной информации, принимаемых должностными лицами и руководителями структурных подразделений
Организационные меры
Технические меры
Порядок доступа в помещения, в которых ведется обработка персональных данных
меры контроля
Расположение и защита оборудования
назначение лиц, ответственных за эксплуатацию помещений
ДО
ПОСЛЕ
Организация ЗПДн в ГИС
Формирование требований
Информирование сотрудников оператора
внесение изменений в текущие документы
формирование свода Правил и Инструкций
- уведомление о своем намерении осуществлять обработку персональных данных;
- фамилию, имя, отчество физического лица, ответственного за организацию обработки персональных данных, и номера его контактных телефонов, почтовые адреса и адреса электронной почты;
- сведения о наличии или об отсутствии трансграничной передачи персональных данных в процессе их обработки;
- сведения об обеспечении безопасности персональных данных в соответствии с требованиями к защите персональных данных, установленными Правительством Российской Федерации.
+
- наличие подключений ИС к сетям связи общего пользования
и (или) сетям международного информационного обмена;
- местонахождение технических средств ИС
- разработка задания и проекта на строительные, строительно-монтажные работы (или реконструкцию) ИСПДн в соответствии с требованиями технического (частного технического) задания на разработку СЗПДн;

- разработка раздела технического проекта на ИСПДн в части защиты информации;

- проведение строительно-монтажных работ в соответствии с проектной документацией;

- использование серийно выпускаемых технических средств обработки, передачи и хранения информации;

- разработка мероприятий по защите информации в соответствии с предъявляемыми требованиями;

- использование сертифицированных технических, программных и программно-технических СЗИ и их установка;

- сертификация по требованиям безопасности информации программных СЗИ в случае, если на рынке отсутствуют требуемые сертифицированные СЗИ;

- разработка и реализация разрешительной системы доступа пользователей к обрабатываемой в ИСПДн информации;

- определение подразделений и назначение лиц, ответственных за эксплуатацию СЗИ, с их обучением по направлению безопасности ПДн;

- разработка рабочей, эксплуатационной документации на СЗПДн, а также организационно-распорядительной документации по защите информации (приказов, инструкций и других документов);

- выполнение других мероприятий, характерных для конкретных ИСПДн и направлений обеспечения безопасности ПДн.

- опытная эксплуатация средств защиты в комплексе с другими техническими и программными средствами в целях проверки их работоспособности в составе ИСПДн и отработки технологического процесса обработки (передачи) информации;

- приемо-сдаточные испытания СЗИ по результатам опытной эксплуатации;

- организация охраны и физической защиты помещений ИСПДн, исключающих несанкционированный доступ к техническим средствам ИСПДн, их хищение и нарушение работоспособности, хищение носителей информации;

- оценка соответствия ИСПДн требованиям безопасности ПДн
Лица, действующие по поручению оператора, и использующие в оперативной деятельности ПДн - наиболее уязвимое звено и несут максимальную ответственность
Практическое задание
Оценить текущее состояние организации защиты ПДн в Вашем ведомстве

- с применением СА
- без применения СА
Full transcript