Центр безопасности информации Оценка соответствия ИСПДн различных классов требованиям безопасности ПДн.

Презентация:



Advertisements
Похожие презентации
Центр безопасности информации Процедуры аттестации и сертификации и их взаимосвязь в свете реализации требований 152 ФЗ.
Advertisements

Практический опыт реализации требований по защите персональных данных МУ Информационно-методический центр Ходячих Андрей Викторович.
В соответствии со статьей 19 Федерального закона «О персональных данных» Правительство Российской Федерации постановляет: Положение об обеспечении 1.
Основные мероприятия по организации обеспечения безопасности персональных данных Выполнила студентка группы 11 инф 112: Анянова Радослава.
Защита персональных данных в информационных системах 24 ноября 2010 года.
ЗАМЕСТИТЕЛЬ ДИРЕКТОРА ФИЛИАЛА ОАО «БИТК» В г. ВОРОНЕЖЕ СЕЛИФАНОВА НАТАЛИЯ НИКОЛАЕВНА ЗАМЕСТИТЕЛЬ ДИРЕКТОРА ФИЛИАЛА ОАО «БИТК» В г. ВОРОНЕЖЕ СЕЛИФАНОВА.
Защита персональных данных. Практический алгоритм проведения работ в организациях, учреждениях, на предприятиях Истомин Дмитрий
Федеральный закон о персональных данных. Необходимо: 1.Получать разрешение на обработку и передачу персональных данных. 2.Уведомлять РОСКОМНАДЗОР о том,
Этапы создания системы защиты персональных данных СПЕЦИАЛЬНЫЕ ВЫЧИСЛИТЕЛЬНЫЕ КОМПЛЕКСЫ Научно-производственное предприятие.
Организация работ по технической защите информационных систем персональных данных Слётова Елена Вячеславовна специалист отдела внедрения систем информационной.
ЗАЩИТА ПЕРСОНАЛЬНЫХ ДАННЫХ в информационных системах операторов связи.
Практический опыт реализации требований по защите персональных данных Сидак А.А. Директор Департамента систем информационной безопасности Центр безопасности.
ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ ОФИСА ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ ОФИСА Антивирусные РЕШЕНИЯ Антивирусные РЕШЕНИЯ План обеспечения соответствия как механизм.
1 Критерии и классы защищенности средств вычислительной техники и автоматизированных систем Подготовила: студентка гр.И-411 Сартакова Е.Л.
Опыт построения системы защиты персональных данных на основе «Dallas Lock 8.0» Полянский Денис Руководитель проектного отдела ООО «Конфидент»
ЭТАПЫ ПРОВЕДЕНИЯ РАБОТ ПО ОБЕСПЕЧЕНИЮ БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ: КОМПЛЕКСНОЕ ОБСЛЕДОВАНИЕ И РАЗРАБОТКА КОМПЛЕКТА ОРГАНИЗАЦИОННО-РАСПОРЯДИТЕЛЬНЫХ.
М.Ю.Емельянников Заместитель коммерческого директора НИП «ИНФОРМЗАЩИТА» Защита персональных данных: алгоритм для законопослушных банков ИНФОРМАЦИОННАЯ.
Защита персональных данных Обязанности оператора автоматизированной информационной системы по защите персональных данных.
Аудит информационной безопасности. Этапы построения комплексной системы информационной безопасности. Начальник технического отдела ООО « СКБ » Михеев Игорь.
Нормативно-методические документы Политики информационной безопасности города Москвы – практическая реализация требований Федерального и регионального.
Транксрипт:

Центр безопасности информации Оценка соответствия ИСПДн различных классов требованиям безопасности ПДн

Варианты оценки соответствия ИСПДн различных классов требованиям безопасности ПДн ИСПДн 1 и 2 классов ИСПДн 3 класса ИСПДн 4 класса обязательная сертификация (аттестация) по требованиям безопасности информации декларирование соответствия требованиям безопасности информации оценка соответствия проводится по решению оператора

Декларирование соответствия требованиям безопасности ПДн Кто проводит Основание Этап Документ Организация, внедряющая СЗПДн Программа и методика приемочных испытаний Ввод в эксплуатацию, приемочные испытания Заключение с выводом о степени соответствия СЗПДн заданным требованиям безопасности ПДн

Аттестация по требованиям безопасности ПДн Кто проводит Основание Этап Документ Аттестационный центр Программа и методика аттестационных испытаний Ввод в эксплуатацию, аттестационные испытания Аттестат соответствия и Заключение по результатам аттестационных испытаний ИСПДн

Особенности аттестация ИСПДн Проводит Несет ответственность Аттестационный центр Оператор ИСПДн

ФОРМАЛЬНЫЙ ПОРЯДОК ПРОВЕДЕНИЯ ИСПЫТАНИЙ ИСПДн

ФАКТИЧЕСКОЕ СОДЕРЖАНИЕ ИСПЫТАНИЙ ИСПДн

Проблемные вопросы аттестации ИСПДн по требованиям безопасности информации

Полнота учета угроз безопасности ПДн Способ реализации Субъект угроз По техническим каналам За счет НСД Нарушитель Внешний Внутренний Программно-аппаратная закладка Вредоносная программа

Определение границ ИСПДн ПДн

Определение информационных ресурсов подлежащих защите в ИСПДн речевая информация; информация, обрабатываемая техническими средствами; информация, представленная в виде электрических сигналов, физических полей; носители информации на бумажной, магнитной, магнитооптической основе.

Классификация ИСПДн на основании характеристик безопасности ПДн Типовые ИСПДн К1 - нарушение заданной характеристики безопасности ПДн может привести к значительным негативным последствиям для субъектов ПДн К2 - нарушение заданной характеристики безопасности ПДн может привести к негативным последствиям для субъектов ПДн К3 - нарушение заданной характеристики безопасности ПДн может привести к незначительным негативным последствиям для субъектов ПДн К4 - нарушение заданной характеристики безопасности ПДн может не приводит к негативным последствиям для субъектов ПДн Специальные ИСПДн На основе модели угроз безопасности

Определение класса для типовой ИСПДн ХНПД \ ХПД 321 категория 4 К4 категория 3 К3 К2 категория 2 К3К2К1 категория 1 К1

Полнота реализации требования по защите информации Режим обработки информации в ИСПДн ОднопользовательскийМногопользовательский Права доступа пользователей РавныеРазные Класс ИСПДн К3К2К1К3К2К1К3К2К1 Система управления доступом Реализация требований РД «Автоматизированные системы. Защита от НСД к информации. Классификация АС и требования по защите информации» Обеспечение безопасности межсетевого взаимодействия Распределенная ИСПДн Применение межсетевых экранов Подключение к СОП Подсистема регистрации и учета Реализация требований РД «Автоматизированные системы. Защита от НСД к информации. Классификация АС и требования по защите информации» Регистрация запросов пользователей на получение ПДн и фактов их предоставления в электронном журнале, защита данных регистрации Подсистема обеспечения целостности Реализация требований РД «Автоматизированные системы. Защита от НСД к информации. Классификация АС и требования по защите информации» Возможность незамедлительного восстановления ПДн Резервное копирование ПДн на отчуждаемые носители

Режим обработки информации в ИСПДн ОднопользовательскийМногопользовательский Права доступа пользователей РавныеРазные Класс ИСПДн К3К2К1К3К2К1К3К2К1 Контроль отсутствия НДВ Соответствующий уровень контроля отсутствия НДВ программного обеспечения, используемого в ИСПДн (средств защиты, в том числе встроенных в общесистемное и прикладное ПО Подсистема антивирусной защиты Антивирусное ПО должно быть сертифицировано по требованиям соответствующего уровня контроля НДВ, а также на соответствие ТУ с требованиям и не ниже соответствующего класса ИСПДн Подсистема обнаружения вторжений Применение систем обнаружения вторжений Своевременное обнаружение фактов НСД к ПДн Недопущение воздействия на технические средства автоматизированной обработки ПДн Подсистема мониторинга Постоянный контроль за обеспечением уровня защищенности ПДн Защита ПДн от утечки по техническим каналам По действующим документам По действующим документам Полнота реализации требования по защите информации

Полнота реализации мероприятия по обеспечению безопасности ПДн: определение угроз безопасности ПДн, формирование модели угроз; классификация ИСПДн; разработка системы защиты ПДн; разработка документов, регламентирующих вопросы организации обеспечения безопасности ПДн и эксплуатации СЗПДн в ИСПДн; установка средств защиты ПДН; организация охраны и физической защиты помещений ИСПДн; ввод в эксплуатацию системы защиты ПДн, включая оценку соответствия ИСПДн требованиям безопасности информации; назначение должностных лиц, ответственных за обеспечение безопасности ПДн, их обучение; допуск лиц к работе с ПДн; контроль за соблюдением условий использования СЗИ, проведение разбирательств по фактам нарушений; разработка и принятие мер по предотвращению возможных опасных последствий подобных нарушений.

Наличие организационно-распорядительных документов по вопросам обеспечения безопасности ПДн в ИСПДн Положение по организации и проведению работ по обеспечению безопасности ПДн при их обработке в ИСПДн. Требования по обеспечению безопасности ПДн при их обработке в ИСПДн. Должностные инструкции персоналу ИСПДн в части обеспечения безопасности ПДн при их обработке в ИСПДн. Рекомендации (инструкции) по использованию программных и аппаратных средств защиты информации. Руководство администратора безопасности информации в ИСПДн. Модель угроз. Акт классификации ИСПДн. Технический паспорт на ИСПДн. Разрешительная система доступа.

Пути подготовки ИСПДн к оценке соответствия (аттестации) Частное решение (мероприятия повторяются для каждой ИСПДн) Разработка модели угроз безопасности ПДн Подбор и установка сертифицированных СЗИ, обеспечивающих реализацию требований по защите ПДн для ИСПДн соответствующего класса Оценка соответствия (сертификация) защитных механизмов прикладного ПО, обеспечивающих выполнение требований, нереализованных сертифицированными СЗИ Разработка эксплуатационной документации. Согласование с регуляторами правил использования средств ЗИ Разработка организационных документов Испытания СЗПДн при вводе в эксплуатацию ИСПДн. В заключении вывод о степени соответствия СЗПДн заданным требованиям безопасности ПДн Типовое решение (разрабатывается для типовых ИСПДн) Разработка модели угроз и задания по безопасности, включающего требования по защите ПДн для соответствующего класса ИСПДн Разработка и сертификация на соответствие требованиям безопасности типового проектного решения на СЗПДн (включая необходимые СЗИ, защитные механизмы общесистемного и прикладного ПО, необходимую документацию) Внедрение сертифицированного проектного решения Разработка необходимых организационных документов Испытания СЗПДн при вводе в эксплуатацию ИСПДн. В заключении вывод о степени соответствия СЗПДн заданным требованиям безопасности ПДн