Некоторые вопросы обеспечения информационной безопасности в учреждениях здравоохранения Начальник аналитического отдела ООО «Стандарт безопасности» Дмитрий.

Презентация:



Advertisements
Похожие презентации
2-3 февраля 2010 г. Обеспечение безопасности персональных данных в информационных системах образовательных учреждений Хорев П.Б., РГСУ.
Advertisements

Удостоверяющий центр ООО «ПНК» Лукашина Елена Юрьевна Заместитель генерального директора по проектам в сфере информационной безопасности ООО "ПНК"
2009 г. Об обеспечении безопасности персональных данных с использованием шифровальных (криптографических) средств.
Заместитель директора ООО «ИТ Энигма» по информационной безопасности Метальников Александр ОСНОВНЫЕ ВОПРОСЫ РАБОТЫ ИТ- СПЕЦИАЛИСТА ЛПУ ПО ЗАЩИТЕ ПДН.
Проведение ведомственных выездных проверок организации защиты персональных данных при их обработке в учреждениях здравоохранения Челябинской области в.
Приведение информационных систем персональных данных в соответствие требованиям законодательства Российской Федерации Начальник аналитического отдела ООО.
Персональные данные (ПДн). Организация работы по защите ПДн в образовательном учреждении 14 апреля 2010 года.
Информационная безопасность в защищенной корпоративной сети передачи данных (ЗКСПД) 2010 г. Начальник отдела по информационной безопасности ФГУ ФЦТ Начальник.
Защита персональных данных в информационных системах 24 ноября 2010 года.
Этапы создания системы защиты персональных данных СПЕЦИАЛЬНЫЕ ВЫЧИСЛИТЕЛЬНЫЕ КОМПЛЕКСЫ Научно-производственное предприятие.
Рачков Михаил группа компаний Стандарт безопасности г. Ярославль Безопасная обработка данных в государственных и муниципальных автоматизированных системах.
Организация работ по технической защите информационных систем персональных данных Слётова Елена Вячеславовна специалист отдела внедрения систем информационной.
Информационная безопасность вуза. Организация работ по защите информации при построении единого информационного пространства кандидат технических наук,
Выполнение требований федерального законодательства в области защиты информации. Практические аспекты Новиков Дмитрий Владимирович Тел. +7 /495/
КОМПАНИЯ КРИПТО-ПРО ключевое слово в защите информации Правоприменительная практика ЭЦП в органах государственной власти ООО «КРИПТО-ПРО»
Практический опыт реализации требований по защите персональных данных МУ Информационно-методический центр Ходячих Андрей Викторович.
НАЧАЛЬНИК ОТДЕЛА ЗАЩИТЫ ИНФОРМАЦИИ ОТ ЕЁ УТЕЧКИ ПО ТЕХНИЧЕСКИМ КАНАЛАМ ТТИ ЮФУ Коробилов Юрий Борисович.
В соответствии со статьей 19 Федерального закона «О персональных данных» Правительство Российской Федерации постановляет: Положение об обеспечении 1.
Проведение мониторинга технического обеспечения и соблюдения норм информационной безопасности в региональных центрах обработки информации субъектов Российской.
Требования и методы защиты персональных данных ООО "МКЦ "АСТА-информ", (351) ,
Транксрипт:

Некоторые вопросы обеспечения информационной безопасности в учреждениях здравоохранения Начальник аналитического отдела ООО «Стандарт безопасности» Дмитрий Мурин

Освещаемые вопросы Для чего нужны средства защиты информации (почему их так много???) Проведение ФСБ России мероприятий по контролю за выполнением требований по обеспечению безопасности персональных данных Обзор готовящихся к выходу (разрабатываемых) документов в области обеспечения безопасности персональных данных

Система защиты информации подсистема управления доступом; подсистема регистрации и учета; подсистема обеспечения целостности; подсистема межсетевого экранирования; подсистема криптографической защиты; подсистема антивирусной защиты; подсистема анализа защищенности; подсистема централизованного управления

Подсистема управления доступом ТОЛЬКО СУБЪЕКТ, ОБЛАДАЮЩИЙ ПРАВОМ, МОЖЕТ ЕГО РЕАЛИЗОВАТЬ

Подсистема регистрации и учета ВСЕ, ЧТО ПРОИСХОДИТ, НЕ ДОЛЖНО ПРОЙТИ НЕЗАМЕЧЕННЫМ

Подсистема обеспечения целостности НЕПРЕДУСМОТРЕННЫЕ ИЗМЕНЕНИЯ ДАННЫХ И ПРОГРАММНОГО КОДА НЕДОПУСТИМЫ

Подсистема межсетевого экранирования НИКТО НЕ ДОЛЖЕН ВОЙТИ В СЕТЬ (ВЫЙТИ ИЗ СЕТИ) БЕЗ ВАШЕГО РАЗРЕШЕНИЯ

Подсистема криптографической защиты ВСЕ, ЧТО ВЫХОДИТ ЗА ГРАНИЦЫ, ДОЛЖНО БЫТЬ ЗАЩИЩЕНО НЕ МЕНЕЕ НАДЕЖНО

Подсистема антивирусной защиты ВРЕДОНОСНОМУ ПРОГРАММНОМУ ОБЕСПЕЧЕНИЮ НЕТ МЕСТА В ЗАЩИЩЕННОЙ СЕТИ

Подсистема анализа защищенности СИСТЕМА ДОЛЖНА ПОСТОЯННО ПОДВЕРГАТЬСЯ АНАЛИЗУ НА ПРЕДМЕТ ИЗМЕНЕНИЯ НАСТРОЕК БЕЗОПАСНОСТИ И ВЫЯВЛЕНИЯ АКТИВНОСТИ НАРУШИТЕЛЯ

Подсистема централизованного управления ПРОСТОТА, ОПЕРАТИВНОСТЬ, ЕДИНЫЕ ПРИНЦИПЫ УПРАВЛЕНИЯ ДЕЛАЮТ СИСТЕМУ ЗАЩИТЫ НАДЕЖНЕЙ, ЭФФЕКТИВНЕЙ, ДЕШЕВЛЕ

Проведение ФСБ России мероприятий по контролю Типовой регламент проведения в пределах полномочий мероприятий по контролю (надзору) за выполнением требований, установленных Правительством РФ, к обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, утвержденный ФСБ России 8 августа 2009 г. 149/7/2/6-1173

Проверяется выполнение требований следующих документов Федеральный закон РФ от 27 июля 2006 г. 152-ФЗ «О персональных данных»; Постановление Правительства РФ от 17 ноября 2007 г. 781 «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных»; Постановление Правительства РФ от 6 июля 2008 г. 512 «Об утверждении требований к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных»; Постановление Правительства РФ от 29 декабря 2007 г. 957 «Об утверждении положений о лицензировании отдельных видов деятельности, связанных с шифровальными (криптографическими) средствами»;

Проверяется выполнение требований следующих документов Приказ ФСБ России от 9 февраля 2005 г. 66 «Об утверждении Положения о разработке, производстве, реализации и эксплуатации шифровальных (криптографических) средств защиты информации (Положение ПКЗ-2005); Методические рекомендации по обеспечению с помощью криптосредств безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств автоматизации, 149/54-144, 2008 г.; Типовые требования по организации и обеспечению функционирования шифровальных (криптографических) средств, предназначенных для защиты информации, не содержащей сведений, составляющих государственную тайну в случае их использования для обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных, 149/6/6-622, 2008 г.

Возможны апелляции к документу Приказ ФАПСИ РФ от 13 июня 2001 г. 152 «Об утверждении инструкции об организации и обеспечении безопасности хранения, обработки и передачи по каналам связи с использованием средств криптографической защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну»

Наиболее интересные проверяемые требования Выполнение рекомендаций ФСБ России по вопросам организации связи с использованием криптосредств. Наличие документов по поставке СКЗИ оператору. Наличие сертификатов соответствия на используемые СКЗИ. Наличие эксплуатационной документации на СКЗИ (формуляров, правил работы, руководств оператора и т.п.). Выявление несертифицированных ФСБ России (ФАПСИ) СКЗИ. Организация процесса обучения лиц, использующих СКЗИ.

Что запрашивается при проверке СКЗИ. Программное обеспечение СКЗИ (дистрибутив). Модель угроз безопасности ПДн. Модель нарушителя. Документы по поставке СКЗИ оператору. Лицензии и сертификаты на используемые СКЗИ. Эксплуатационная документация на СКЗИ. Список лиц, допущенных к работе с СКЗИ. Список лиц, ответственных за обеспечение безопасности персональных данных. Документы, подтверждающие функциональные обязанности сотрудников.

Что запрашивается при проверке Журнал учета пользователей криптосредств. Документы, подтверждающие прохождение обучения сотрудников. Акты ввода СКЗИ в эксплуатацию. Технический (аппаратный) журнал. Журнал поэкземплярного учета СКЗИ. Журнал учета и выдачи носителей с ключевой информацией. Журнал сдачи помещений под охрану. Лицевые счета пользователей СКЗИ. Журнал учета хранилищ. Инструкция по восстановлению связи в случае компрометации действующих ключей к СКЗИ.

Обзор готовящихся к выходу документов Постановление Правительства РФ «Об установлении уровней защищенности персональных данных при их обработке в информационных системах персональных данных в зависимости от угроз безопасности этих данных» Постановление Правительства РФ «О требованиях к защите персональных данных при их обработке в информационных системах персональных данных, исполнение которых обеспечивает установленные уровни защищенности персональных данных»

Обзор готовящихся к выходу документов Требования и методы обезличивания персональных данных, обрабатываемых в информационных системах персональных данных, в том числе созданных и функционирующих в рамках реализации федеральных целевых программ

ООО «Стандарт безопасности» г. Ярославль, ул. Угличская, д. 39В, офис 211 тел.: (4852) факс: Слайд вопросов и комментариев