Заместитель директора ООО «ИТ Энигма» по информационной безопасности Метальников Александр ОСНОВНЫЕ ВОПРОСЫ РАБОТЫ ИТ- СПЕЦИАЛИСТА ЛПУ ПО ЗАЩИТЕ ПДН
ЗАКОНОДАТЕЛЬСТВО 1. Федеральный закон РФ от ФЗ «О персональных данных» 2. Постановление Правительства РФ от «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных» 3. Приказ ФСТЭК России от 18 февраля 2013 г. 21 "Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных". 4. Приказ ФСБ России от «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности» 5. Базовая модель угроз безопасности персональных данных при их обработке в ИСПДн; 6. Методика определения актуальных угроз безопасности персональных данных при их обработке в ИСПДн; 7. Приказ ФАПСИ от г. 152 «Об утверждении инструкции об организации и обеспечении безопасности хранения, обработки и передачи по каналам связи с использованием средств криптографической защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну»
ПРАКТИКА ПРОВЕРОК 1. Управление Роскомнадзора по Челябинской области Более 50 проверок в 2015 г. 2. Управление ФСБ по Челябинской области Более 10 проверок в 2015 г.
ПРОВЕРЯЕМЫЕ ВОПРОСЫ 1. Порядок эксплуатации СКЗИ; 2. Объем и полнота организационно-распорядительной документации по вопросам обработки ПДн; 3. Условия обработки ПДн.
ОСНОВНЫЕ МЕРОПРИЯТИЯ 1. Эксплуатация СКЗИ А) Хранение СКЗИ; Б) Учет СКЗИ. 2. Объем и полнота организационно-распорядительной документации по вопросам обработки ПДн А) Должны быть разработаны все необходимые организационно- распорядительные документы; Б) Содержание ОРД должно отражать текущие условия функционирования ИСПДн. 3. Условия обработки ПДн А) Должен быть назначен ответственный за обработку ПДн; Б) Персонал должен быть ознакомлен с ОРД; В) Уведомление об обработке, согласие на обработку, ознакомление сотрудников с ОРД.
ТИПИЧНЫЕ НАРУШЕНИЯ Не разработана модель угроз; Не определены уровни защищенности ИСПДн; Сотрудники не ознакомлены с документами, регламентирующими обработку ПДн; Не утвержден перечень пользователей СКЗИ; Не утвержден ответственный пользователь СКЗИ; Не ведется поэкземплярный учет СКЗИ; Отсутствуют дистрибутивы СКЗИ; Не утвержден перечень помещений, где проводится работа с СКЗИ; Отсутствуют документы, подтверждающие факт установки СКЗИ, обучения пользователей.
Спасибо за внимание! ООО «ИТ Энигма» +7 (351)