Требования и методы защиты персональных данных ООО "МКЦ "АСТА-информ", (351) ,
Приказ РНК 996 (обезличивание ПДн) Приказ РНК 996 (обезличивание ПДн) Требования ФСБ (тех.средства) Обработка ПДн в ИСПДн ООО "МКЦ "АСТА-информ", (351) , ru ПП РФ 512 (Требования к машиночитаемым материальным носителям биометрических ПДн) ПП РФ 512 (Требования к машиночитаемым материальным носителям биометрических ПДн) ПП РФ 687 (Обработка ПДн «без использования средств автоматизации») ПП РФ 687 (Обработка ПДн «без использования средств автоматизации») ПП РФ 211 (Перечень мер) ПП РФ 211 (Перечень мер) ФЗ 152 (Защита персональных данных) ФЗ 152 (Защита персональных данных) Требования ФСТЭК (Приказы 17 и 21) ПП РФ 1119 (Обработка ПДн в информационных системах персональных данных) ПП РФ 1119 (Обработка ПДн в информационных системах персональных данных)
Новые подходы ФСТЭК России к защите информации ООО "МКЦ "АСТА-информ", (351) ,
Где и зачем нужно защищать персональных данных? ООО "МКЦ "АСТА-информ", (351) ,
Где и зачем нужно защищать персональных данных? ООО "МКЦ "АСТА-информ", (351) , ru Медик Плюс Барс Office (пакет офисных программы) VipNet. Деловая почта Медицинские карты Талоны, листы
Кому могут быть доступны персональных данных? ООО "МКЦ "АСТА-информ", (351) ,
Потоки персональных данных (МИС) ООО "МКЦ "АСТА-информ", (351) , ru Учреждение здравоохранения ЦОД
Общая структура ИСПДн (МИС) ООО "МКЦ "АСТА-информ", (351) , ru Сервер ЦОД 0 АРМ Криптошлюз
Приказы ФСТЭК России по защите ПДн ПРИКАЗ от 11 февраля 2013 г. N 17 Об утверждении требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах ПРИКАЗ от 18 февраля 2013 г. N 21 Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных ООО "МКЦ "АСТА-информ", (351) ,
Что именно защищать по приказам ФСТЭК России по защите ПДн ПРИКАЗ от 11 февраля 2013 г. N 17 ГИС – государственная информационная система МИС – муниципальная информационная система РИС – региональная информационная система ПРИКАЗ от 18 февраля 2013 г. N 21 Остальные (например ИСПДн «Бухгалтерия», «Кадры», собственные ИСПДн оператора) ООО "МКЦ "АСТА-информ", (351) ,
Этапы защиты персональных данных Обследование ИС Разработка Модели угроз и нарушителя безопасности Разработка Технического задания на создание СЗ ИСПДн Разработка Технического проекта СЗИ (Приказ 17 ФСТЭК) Разработка организационно-распорядительной документации по обработке и защите ПДн Внедрение СЗИ (закуп, настройка СрЗИ, обучение) Аттестация ИСПДн (Приказ 17 ФСТЭК) Эксплуатация (Обеспечение требований безопасности) ООО "МКЦ "АСТА-информ", (351) ,
Определение уровня защищенности персональных данных (ПП РФ от ) ООО "МКЦ "АСТА-информ", (351) , ru Тип ИСПДн Сотрудники оператора Количество субъектов Тип актуальных угроз 123 ИСПДн-С Нет> УЗ-1 УЗ-2 Нет< УЗ-1УЗ-2УЗ-3 Да ИСПДн-Б УЗ-1УЗ-2УЗ-3 ИСПДн-И Нет> УЗ-1УЗ-2УЗ-3 Нет< УЗ-2УЗ-3УЗ-4 Да ИСПДн-О Нет> УЗ-2 УЗ-4 Нет< УЗ-2УЗ-3УЗ-4 Да
Требования к безопасности уровня защищенности персональных данных (ПП РФ от ) ООО "МКЦ "АСТА-информ", (351) , ru Требования Уровни защищенности 1234 Режим обеспечения безопасности помещений, где обрабатываются персональные данных ++++ Сохранность носителей персональных данные ++++ Перечень лиц, допущенных к персональным данным ++++ СЗИ, прошедшие процедуру оценки соответствия ++++ Должностное лицо, ответственное за обеспечение безопасности персональных данных в ИСПДн +++- Ограничение доступа к содержанию электронного журнала сообщений ++-- Автоматическая регистрация в электронном журнале безопасности изменения полномочий сотрудника оператора по доступу к персональным данным +--- Структурное подразделение, ответственное за обеспечение безопасности персональных данных +---
Приказ 21 ФСТЭК России по защите ПДн ПРИКАЗ от 18 февраля 2013 г. N 21 Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных ООО "МКЦ "АСТА-информ", (351) ,
Состав и содержание мер по, обеспечению безопасности персональных данных, необходимых для обеспечения каждого из уровней защищенности персональных данных ООО "МКЦ "АСТА-информ", (351) , ru Условное обозначение и номер меры Содержание мер по обеспечению безопасности персональных данных Уровни защищенности персональных данных 4321 I. Идентификация и аутентификация субъектов доступа и объектов доступа (ИАФ) ИАФ.1 Идентификация и аутентификация пользователей, являющихся работниками оператора ++++ ИАФ.2 Идентификация и аутентификация устройств, в том числе стационарных, мобильных и портативных ++ ….….. ….….. II. Управление доступом субъектов доступа к объектам доступа (УПД) УПД.1 Управление (заведение, активация, блокирование и уничтожение) учетными записями пользователей, в том числе внешних пользователей ++++ …. …….…..…. …
Система защиты информации (Приказ 21 ФСТЭК) Средство защиты информации от несанкционированного доступа Антивирусное средство защиты (средство защиты информации от вредоносного ПО) При взаимодействии ИСПДн с иными сетями Межсетевой экран (средство защиты информации от сетевых угроз) При передаче персональных данных по сети Интернет Средство криптографической защиты ООО "МКЦ "АСТА-информ", (351) ,
Система защиты информации (Приказ 21 ФСТЭК) При уровне защищенности 3 (УЗ3) : Сканер сетевой безопасности (средство контроля (анализа) защищенности персональных данных) При уровне защищенности 2 (УЗ2) : Средство обнаружения вторжений + иные средства защиты ООО "МКЦ "АСТА-информ", (351) ,
Таблица по сертифицированным СЗИ по Приказу 21 ФСТЭК ООО "МКЦ "АСТА-информ", (351) , ru Уровни защищенности ПДн 1234 СВТ5+ 6+ СОВ4+ 4+/5+5+ АВЗ4+ 4+/5+5+ МСЭ3+/4+ 5 НДВ4+ -/4+, если АУ2 -
Приказ 17 ФСТЭК России по защите ПДн ПРИКАЗ от 11 февраля 2013 г. N 17 Об утверждении требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах Методический документ ФСТЭК России 11 февраля 2014 г. «Меры защиты информации в государственных информационных системах» ООО "МКЦ "АСТА-информ", (351) ,
Класс защищенности информационной системы определяется в соответствии с таблицей: ООО "МКЦ "АСТА-информ", (351) , ru Уровень значимости информации Масштаб информационной системы Федеральный РегиональныйОбъектовый УЗ 1К1 УЗ 2К1К2 УЗ 3К2К3 УЗ 4К3 К4
Состав мер защиты информации и их базовые наборы для соответствующего класса защищенности информационной системы ООО "МКЦ "АСТА-информ", (351) , ru Условное обозначение и номер меры Меры защиты информации в информационных системах Классы защищенности информационной системы 4321 I. Идентификация и аутентификация субъектов доступа и объектов доступа (ИАФ) ИАФ.1 Идентификация и аутентификация пользователей, являющихся работниками оператора ++++ ИАФ.2 Идентификация и аутентификация устройств, в том числе стационарных, мобильных и портативных ++ …. ………… II. Управление доступом субъектов доступа к объектам доступа (УПД) УПД.1 Управление (заведение, активация, блокирование и уничтожение) учетными записями пользователей, в том числе внешних пользователей ++++ ………………
Система защиты информации (Приказ 17 ФСТЭК) Средство защиты информации от несанкционированного доступа Антивирусное средство защиты (средство защиты информации от вредоносного ПО) При взаимодействии ИСПДн с иными сетями Межсетевой экран (средство защиты информации от сетевых угроз) При передаче персональных данных по сети Интернет Средство криптографической защиты ООО "МКЦ "АСТА-информ", (351) ,
Система защиты информации (Приказ 17 ФСТЭК) При классе защищенности 3 (К3) : Сканер сетевой безопасности (средство контроля (анализа) защищенности персональных данных) При классе защищенности 2 (К2) : Средство обнаружения вторжений + иные средства защиты ООО "МКЦ "АСТА-информ", (351) ,
Таблица по сертифицированным СЗИ по Приказу 17 ФСТЭК ООО "МКЦ "АСТА-информ", (351) , ru Классы защищенности ИС 1234 СВТ5+ СОВ4+ 4+/5+5+ АВЗ4+ 4+/5+5+ МСЭ3+/4+ 4+ НДВ4+ --
Общая структура ИСПДн (МИС) ООО "МКЦ "АСТА-информ", (351) , ru Сервер ЦОД 0 АРМ Криптошлюз
Измененная структура ИСПДн (МИС) ООО "МКЦ "АСТА-информ", (351) , ru Сервер ЦОД 0 АРМ Криптошлюз АРМ
Измененная структура ИСПДн (МИС) ООО "МКЦ "АСТА-информ", (351) , ru Сервер ЦОД 0 АРМ Криптошлюз Принтер
Измененная структура ИСПДн (МИС) ООО "МКЦ "АСТА-информ", (351) , ru Сервер ЦОД 0 АРМ Криптошлюз ЛВС учреждения АРМ
Документация и требования по защите персональных данных Модель угроз и нарушителя безопасности Техническое задание на создание СЗ ИСПДн Технический проект СЗИ Не актуальна организационно-распорядительная документация по обработке и защите ПДн Отсутствие СрЗИ СЗИ Не действителен Аттестат на ИСПДн Эксплуатация без обеспечения требований безопасности ООО "МКЦ "АСТА-информ", (351) ,
Этапы защиты персональных данных Обследование ИС Разработка Модели угроз и нарушителя безопасности Разработка Технического задания на создание СЗ ИСПДн Разработка Технического проекта СЗИ (Приказ 17 ФСТЭК) Разработка организационно-распорядительной документации по обработке и защите ПДн Внедрение СЗИ (закуп, настройка СрЗИ, обучение) Аттестация ИСПДн (Приказ 17 ФСТЭК) Эксплуатация (Обеспечение требований безопасности) ООО "МКЦ "АСТА-информ", (351) ,
Обследование ИСПДн с учетом изменений Актуализация Модели угроз и нарушителя безопасности Актуализация Технического задания на создание СЗ ИСПДн Актуализация Технического проекта СЗИ (Приказ 17 ФСТЭК) Актуализация организационно-распорядительной документации по обработке и защите ПДн Внедрение СЗИ (закуп, настройка СрЗИ, обучение) Переаттестация ИСПДн (Приказ 17 ФСТЭК) Эксплуатация обновленной ИСПДн (Обеспечение требований безопасности) ООО "МКЦ "АСТА-информ", (351) , ru Мероприятия при изменениях в ИСПДн (законодательство РФ в сфере защиты ПДн)
Вопросы? ООО "МКЦ "АСТА-информ", (351) ,