Информационная безопасность в защищенной корпоративной сети передачи данных (ЗКСПД) 2010 г. Начальник отдела по информационной безопасности ФГУ ФЦТ Начальник.

Презентация:



Advertisements
Похожие презентации
Информационная безопасность в защищенной сети передачи данных 2011 г. Начальник отдела по информационной безопасности ФГУ ФЦТ Начальник отдела по информационной.
Advertisements

КГБУ Региональный центр оценки качества образования «Организация защищенной корпоративной сети при проведении ЕГЭ в 2012 году. Требования к информационной.
Информационная безопасность при организации и проведении ЕГЭ Попов Олег Васильевич Системный администратор ГАУ РК «РИЦОКО»
Персональные данные (ПДн). Организация работы по защите ПДн в образовательном учреждении 14 апреля 2010 года.
ПЕРСПЕКТИВЫ РАЗВИТИЯ ЕГЭ НА 2012 ГОД И ПОСЛЕДУЮЩИЕ ГОДЫ.
Обеспечение информационной безопасности при подготовке и проведении единого государственного экзамена в 2012 году Начальник отдела по информационной безопасности.
Защита персональных данных Изменение законодательства и преемственность организационно-технических решений Сафонов Сергей Александрович заместитель начальника.
Защита персональных данных на базе типовых решений ЭЛВИС-ПЛЮС © ОАО «ЭЛВИС-ПЛЮС», 2008 г.
Защита персональных данных в АИБС МАРК. Нормативные требования Закон 152-ФЗ «О персональных данных» Постановление Правительства 781 «положение об обеспечении.
Некоторые вопросы обеспечения информационной безопасности в учреждениях здравоохранения Начальник аналитического отдела ООО «Стандарт безопасности» Дмитрий.
Защита персональных данных в информационных системах 24 ноября 2010 года.
Обработка данных по пациентам, контактным с ВИЧ-инфицированными при помощи программного средства Гусев А. Г. начальник отдела компьютерного обеспечения.
Организация работ по технической защите информационных систем персональных данных Слётова Елена Вячеславовна специалист отдела внедрения систем информационной.
Проведение мониторинга технического обеспечения и соблюдения норм информационной безопасности в региональных центрах обработки информации субъектов Российской.
Федеральный закон РФ от 27 июля 2006 года 152-ФЗ «О персональных данных»
В соответствии со статьей 19 Федерального закона «О персональных данных» Правительство Российской Федерации постановляет: Положение об обеспечении 1.
2009 г. Об обеспечении безопасности персональных данных с использованием шифровальных (криптографических) средств.
Коротин Михаил Иванович Министерство науки, информатизации и новых технологий Республики Мордовия Практика применения методических документов в сфере защиты.
Федеральный закон 152-ФЗ «О персональных данных» от 27 июля 2006 года ( с последними изменениями от 25 июля 2011 года) Требования к юридическим лицам.
Заместитель директора ООО «ИТ Энигма» по информационной безопасности Метальников Александр ОСНОВНЫЕ ВОПРОСЫ РАБОТЫ ИТ- СПЕЦИАЛИСТА ЛПУ ПО ЗАЩИТЕ ПДН.
Транксрипт:

Информационная безопасность в защищенной корпоративной сети передачи данных (ЗКСПД) 2010 г. Начальник отдела по информационной безопасности ФГУ ФЦТ Начальник отдела по информационной безопасности ФГУ ФЦТ Андрианов Олег Эрнстович

27 июля 2006 г.Федеральный закон 149-ФЗ «Об информации информационных технологиях и о защите информации» 27 июля 2006 г.Федеральный закон 152-ФЗ «О персональных данных» 17 ноября 2007 г.Постановление Правительства России 781 «Положение об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных» 13 февраля 2008 г.Приказ ФСТЭК, ФСБ и МинИнформсвязи России 55/86/20 «Об утверждении Порядка проведения классификации информационных систем персональных данных» Основные руководящие документы

15 февраля 2008 г.ФСТЭК «Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных» 15 февраля 2008 г.ФСТЭК «Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных» 27 декабря 2009 г.Федеральный закон 363-ФЗ «О внесении изменений в статьи 19 и 25 Федерального закона «О персональных данных»» 5 февраля 2010 г.Приказ ФСТЭК 58 «Об утверждении положения о методах и способах защиты информации в информационных системах защиты персональных данных»

Чем интересен Приказ ФСТЭК 58? 1.В отличие от методических документов ФСТЭК, данный документ является нормативно-правовым актом. Документ зарегистрирован в Минюсте РФ 19 февраля 2010 г. Действует с 16 марта 2010 г. 2.Приказ отменяет применение с 15 марта 2010 г. следующих документов: - «Основные мероприятия по организации и техническому обеспечению безопасности персональных данных, обрабатываемых в информационных системах персональных данных»; - «Рекомендации по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных».

Методы и способы защиты информации применяемые в ЗКСПД ограничение доступа пользователей в помещения, где размещены технические средства, позволяющие осуществлять обработку персональных данных, а также хранятся носители информации; разграничение доступа пользователей и обслуживающего персонала к информационным ресурсам, программным средствам обработки (передачи) и защиты информации; регистрация действий пользователей и обслуживающего персонала, контроль несанкционированного доступа и действий пользователей, обслуживающего персонала и посторонних лиц; учет и хранение съемных носителей информации и их обращение, исключающее хищение, подмену и уничтожение; использование средств защиты информации, прошедших в установленном порядке процедуру оценки соответствия; использование защищенных каналов связи;

размещение технических средств, позволяющих осуществлять обработку персональных данных, в пределах охраняемой территории; организация физической защиты помещений и собственно технических средств, позволяющих осуществлять обработку персональных данных; использование средств антивирусной защиты; межсетевое экранирование с целью управления доступом, фильтрации сетевых пакетов и трансляции сетевых адресов для скрытия структуры информационной системы; использование смарт-карт и электронных замков для надежной идентификации и аутентификации пользователей; централизованное управление системой защиты персональных данных информационной системы; фильтрация входящих (исходящих) сетевых пакетов по правилам, заданным оператором.

Все это не просто задекларировано, а отражено в следующих документах: Регламент по предоставлению и контролю доступа к информационным ресурсам. Инструкция администратора информационной безопасности. Регламент по мониторингу событий информационной безопасности. Инструкция администратора по обеспечению антивирусной защиты. Инструкция администратора по обеспечению защиты от несанкционированного доступа. Регламент обеспечения непрерывности функционирования ИСПДн. Регламент реагирования на инциденты ИБ.

Инструкция по внесению изменений в конфигурацию технических и программных средств. Инструкция пользователя по обеспечению безопасности ПДн. Инструкция по внесению изменений в списки пользователей и наделению их полномочиями доступа к ресурсам. Матрица доступа пользователей. Регламент по мониторингу событий информационной безопасности. Перечень защищаемых ресурсов. Положение об обработке и обеспечению безопасности ПДн. Программа и методика периодического тестирования СЗИ. Списки лиц, допущенных к защищаемым помещениям.

Регламент мониторинга событий ИБ. Регламент обеспечения антивирусной защиты. Регламент обеспечения сетевой безопасности. Регламент обращения со съемными носителями информации. Регламент по обеспечению режима доступа в помещения.

Таким образом «абстрактные» требования законодательства приобретают вполне конкретные очертания. Несмотря на довольно большое количество документов, в той или иной степени регламентирующих вопросы информационной безопасности не все так сложно, как кажется. Своим опытом по построению защищенных сетей поделятся представители Ставропольского края. Опытом по подготовке и проведению аттестации – коллеги из РЦОИ Республики Карелия.

По итогам выборочного анализа материалов проверок установлено, что Операторами в большей степени допускаются нарушения требований части 3, части 7 статьи 22 Федерального закона в части несоответствия сведений, указанных в уведомлении об обработке персональных данных, фактической деятельности; части 1 статьи 6 Федерального закона - при обработке персональных данных без согласия субъектов персональных данных.

Контактная информация тел факс