Обеспечение информационной безопасности при подготовке и проведении единого государственного экзамена в 2012 году Начальник отдела по информационной безопасности ФГБУ «Федеральный центр тестирования» Палютин А.Н.
Нормативные требования по защите персональных данных Создание системы защиты информации Критерии классификации ИСПДн Анализ состояния информационной инфраструктуры РЦОИ Мониторинг ЗКСПД и анализ причин отказов связи Содержание
Указ Президента Российской Федерации от 06 марта 1997 г. 188 «О введении в действие перечня сведений конфиденциального характера» Федеральный закон от 27 июля 2006 г. 149-ФЗ «Об информации, информационных технологиях и о защите информации» Федеральный закон от 27 июля 2006 г. 152-ФЗ «О персональных данных» Постановление Правительства РФ от 17 ноября 2007 г. 781, утверждающее «Положение об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных» Приказ ФСТЭК России, ФСБ России, Мининформсвязи от 13 февраля 2008 г. 55/86/20, утверждающий «Порядок проведения классификации информационных систем персональных данных» Нормативная база
Создание системы защиты информации Система защиты информации Документация по защите информации применительно к объекту информатизации Специалисты по защите информации, прошедшие подготовку Технические средства защиты информации и контроля эффективности ее защиты
категория 1 - персональные данные, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных и философских убеждений, состояния здоровья, интимной жизни категория 1 - персональные данные, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных и философских убеждений, состояния здоровья, интимной жизни категория 2 - персональные данные, позволяющие идентифицировать субъект персональных данных и получить о нем дополнительную информацию, за исключением персональных данных, относящихся к категории 1 категория 2 - персональные данные, позволяющие идентифицировать субъект персональных данных и получить о нем дополнительную информацию, за исключением персональных данных, относящихся к категории 1 категория 3 - персональные данные, позволяющие идентифицировать субъект персональных данных категория 3 - персональные данные, позволяющие идентифицировать субъект персональных данных категория 4 - обезличенные и (или) общедоступные персональные данные категория 4 - обезличенные и (или) общедоступные персональные данные Критерии классификации ИСПДН: Категория
Более субъектов персональных данных или персональные данные субъектов персональных данных в пределах субъекта Российской Федерации или Российской Федерации в целом От 1000 до субъектов персональных данных или персональные данные субъектов персональных данных, работающих в отрасли экономики Российской Федерации, в органе государственной власти, проживающих в пределах муниципального образования Менее 1000 субъектов персональных данных или персональные данные субъектов персональных данных в пределах конкретной организации. Критерии классификации ИСПДН: Объем
Классификация типовой ИСПДН Объем/Категория Объем 3 (< 1 000, организация) Объем 2 (1 000 – , отрасль, город) Объем1 (> , субъект РФ) Категория 4 (обезличенные, общедоступные) Класс 4 Категория 3 (идентификационные) Класс 3 Класс 2 Категория 2 (идентификационные и еще) Класс 3Класс 2Класс 1 Категория 1 (медицинские, социальные) Класс 1
класс 1 (К1) - информационные системы, для которых нарушение заданной характеристики безопасности персональных данных, обрабатываемых в них, может привести к значительным негативным последствиям для субъектов персональных данных класс 2 (К2) - информационные системы, для которых нарушение заданной характеристики безопасности персональных данных, обрабатываемых в них, может привести к негативным последствиям для субъектов персональных данных класс 3 (К3) - информационные системы, для которых нарушение заданной характеристики безопасности персональных данных, обрабатываемых в них, может привести к незначительным негативным последствиям для субъектов персональных данных класс 4 (К4) - информационные системы, для которых нарушение заданной характеристики безопасности персональных данных, обрабатываемых в них, не приводит к негативным последствиям для субъектов персональных данных Классификация типовой ИСПДН
Разработка документации на ИСПДн: -Техническое задание на разработку системы; -Технический проект системы; -Технический паспорт системы; -Матрица доступа; -Инструкция администратора; -Инструкция администратора безопасности; -Инструкция пользователя Аттестация ИСПДН ЦОД ФГБУ ФЦТ по классу АИС 1Г ИСПДН применительно к ФИС ЕГЭ и приема
Аттестация информационных систем РЦОИ
Планы по аттестации Информационных систем РЦОИ
Наличие защищенной сети передачи данных между МОУО и РЦОИ
Наличие защищенной сети передачи данных между образовательными учреждениями и МОУО/РЦОИ
Мониторинг состояния каналов ЗКСПД (фрагмент ежедневного отчета)
Регионы, имевшие наибольшее число отказов связи в период апрель – июль 2012 года Чукотский АО 23 Тульская область 19 Мурманская обл. 17 Москва 14 Тамбовская область 11 Ненецкий автономный округ 13 Тюменская область 13 Рязанская область 10 Омская область 8 Общее число отказов 276
Распределение причин отказов