Основные мероприятия по организации обеспечения безопасности персональных данных Выполнила студентка группы 11 инф 112: Анянова Радослава.

Презентация:



Advertisements
Похожие презентации
Аудит информационной безопасности. Этапы построения комплексной системы информационной безопасности. Начальник технического отдела ООО « СКБ » Михеев Игорь.
Advertisements

Центр безопасности информации Оценка соответствия ИСПДн различных классов требованиям безопасности ПДн.
В соответствии со статьей 19 Федерального закона «О персональных данных» Правительство Российской Федерации постановляет: Положение об обеспечении 1.
ЗАЩИТА ПЕРСОНАЛЬНЫХ ДАННЫХ в информационных системах операторов связи.
М.Ю.Емельянников Заместитель коммерческого директора НИП «ИНФОРМЗАЩИТА» Защита персональных данных: алгоритм для законопослушных банков ИНФОРМАЦИОННАЯ.
Этапы создания системы защиты персональных данных СПЕЦИАЛЬНЫЕ ВЫЧИСЛИТЕЛЬНЫЕ КОМПЛЕКСЫ Научно-производственное предприятие.
Защита персональных данных в информационных системах 24 ноября 2010 года.
Текущая ситуация Законодательство, нормативы ФЕДЕРАЛЬНЫЙ ЗАКОН РОССИЙСКОЙ ФЕДЕРАЦИИ ОТ 27 ИЮЛЯ 2006 Г. 152-ФЗ «О ПЕРСОНАЛЬНЫХ ДАННЫХ» ПОСТАНОВЛЕНИЕ ПРАВИТЕЛЬСТВА.
Практический опыт реализации требований по защите персональных данных МУ Информационно-методический центр Ходячих Андрей Викторович.
Заместитель директора ООО «ИТ Энигма» по информационной безопасности Метальников Александр ОСНОВНЫЕ ВОПРОСЫ РАБОТЫ ИТ- СПЕЦИАЛИСТА ЛПУ ПО ЗАЩИТЕ ПДН.
2009 г. Об обеспечении безопасности персональных данных с использованием шифровальных (криптографических) средств.
Организация работ по технической защите информационных систем персональных данных Слётова Елена Вячеславовна специалист отдела внедрения систем информационной.
Проведение работ по подготовке и проведению аттестации по требованиям безопасности. Классификация ИС ПДн. Основные подходы. Руководитель проектов ЗАО «Калуга.
Персональные данные - любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу ( субъекту персональных.
Защита персональных данных Обязанности оператора автоматизированной информационной системы по защите персональных данных.
Федеральный закон о персональных данных. Необходимо: 1.Получать разрешение на обработку и передачу персональных данных. 2.Уведомлять РОСКОМНАДЗОР о том,
Проведение ведомственных выездных проверок организации защиты персональных данных при их обработке в учреждениях здравоохранения Челябинской области в.
ВОПРОСЫ ЗАЩИТЫ ИНФОРМАЦИИ И ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ ПРИ ИХ ОБРАБОТКЕ В ИНФОРМАЦИОННЫХ СИСТЕМАХ В СВЯЗИ С ИЗДАНИЕМ ПРИКАЗА ФСТЭК РОССИИ.
Обеспечение информационной безопасности государственных и муниципальных информационных систем Докладчик: заместитель директора бюджетного учреждения в.
Общий порядок действий оператора по выполнению требований Федерального закона от ФЗ «О персональных данных»
Транксрипт:

Основные мероприятия по организации обеспечения безопасности персональных данных Выполнила студентка группы 11 инф 112: Анянова Радослава

Под организацией обеспечения безопасности ПД при их обработке в ИСПД понимается формирование и реализация совокупности согласованных по цели, задачам, месту и времени организационных и технических мероприятий, направленных на минимизацию ущерба от возможной реализации угроз безопасности ПД. Обязанности по реализации необходимых организационных и технических мероприятий для защиты ПД от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения ПД, а также иных неправомерных действий с ними, возлагаются на оператора.

Для разработки и осуществления мероприятий по организации и обеспечению безопасности ПД при их обработке в ИСПД оператором или уполномоченным им лицом должно назначаться структурное подразделение или должностное лицо (работник), ответственное за обеспечение безопасности ПД. Технические и программные средства, используемые для обработки ПД в ИСПД, должны удовлетворять установленным в соответствии с законодательством Российской Федерации требованиям, обеспечивающим защиту информации. Средства защиты информации, применяемые в ИСПД, в установленном порядке проходят процедуру оценки соответствия, включая сертификацию на соответствие требованиям по безопасности информации.

Обеспечение безопасности ПД осуществляется путем выполнения комплекса организационных и технических мероприятий, реализуемых в рамках создаваемой системы (подсистемы) защиты персональных данных (СЗПД). Структура, состав и основные функции СЗПД определяются исходя из класса ИСПД. СЗПД включает организационные меры и технические средства защиты информации (в том числе шифровальные (криптографические) средства, средства предотвращения НСД, утечки информации по техническим каналам, программно-технических воздействий на технические средства обработки ПД), а также используемые в информационной системе информационные технологии.

Рекомендуемые стадии создания СЗПД Предпроектная стадия, включающая предпроектное обследование ИСПД, разработку технического (частного технического) задания на ее создание; стадия проектирования (разработки проектов) и реализации ИСПД, включающая разработку СЗПД в составе ИСПД; стадия ввода в действие СЗПД, включающая опытную эксплуатацию и приемо-сдаточные испытания средств защиты информации, а также оценку соответствия ИСПД требованиям безопасности информации.

Предпроектная стадия На предпроектной стадии по обследованию ИСПД рекомендуются следующие мероприятия: устанавливается необходимость обработки ПД в ИСПД; определяется перечень ПД, подлежащих защите от НСД; определяются условия расположения ИСПД относительно границ контролируемой зоны (КЗ); определяются конфигурация и топология ИСПД в целом и ее отдельных компонентов, физические, функциональные и технологические связи как внутри этих систем, так и с другими системами различного уровня и назначения; определяются технические средства и системы, предполагаемые к использованию в разрабатываемой ИСПД, условия их расположения, общесистемные и прикладные программные средства, имеющиеся и предлагаемые к разработке; определяются режимы обработки ПД в ИСПД в целом и в отдельных компонентах; определяется класс ИСПД; уточняется степень участия должностных лиц в обработке ПД, характер их взаимодействия между собой; определяются (уточняются) угрозы безопасности ПД применительно к конкретным условиям функционирования ИСПД (разработка частной модели угроз).

Техническое (частное техническое) задание на разработку СЗПД Оно должно содержать: обоснование разработки СЗПДн; исходные данные создаваемой (модернизируемой) ИСПДн в техническом, программном, информационном и организационном аспектах; класс ИСПДн; ссылку на нормативные документы, с учетом которых будет разрабатываться СЗПДн и приниматься в эксплуатацию ИСПДн; конкретизацию мероприятий и требований к СЗПДн; перечень предполагаемых к использованию сертифицированных средств защиты информации; обоснование проведения разработок собственных средств защиты информации при невозможности или нецелесообразности использования имеющихся на рынке сертифицированных средств защиты информации; состав, содержание и сроки проведения работ по этапам разработки и внедрения СЗПД.

В целях дифференцированного подхода к обеспечению безопасности ПДн в зависимости от объема обрабатываемых ПДн и угроз безопасности жизненно важным интересам личности, общества и государства ИСПДн подразделяются на следующие классы: класс 1 (К1) – ИСПДн, для которых нарушение заданной характеристики безопасности ПДн, обрабатываемых в них, может привести к значительным негативным последствиям для субъектов персональных данных; класс 2 (К2) – ИСПДн, для которых нарушение заданной характеристики безопасности ПДн, обрабатываемых в них, может привести к негативным последствиям для субъектов персональных данных; класс 3 (К3) – ИСПДн, для которых нарушение заданной характеристики безопасности ПДн, обрабатываемых в них, может привести к незначительным негативным последствиям для субъектов персональных данных; класс 4 (К4) – ИСПДн, для которых нарушение заданной характеристики безопасности ПДн, обрабатываемых в них, не приводит к негативным последствиям для субъектов персональных данных. Классификация ИСПДн проводится оператором в соответствии с «Порядком проведения классификации информационных систем персональных данных», утвержденным приказом ФСТЭК России, ФСБ России и Мининформсвязи России от 13 февраля 2008 г. 55/86/20.

На стадии проектирования и создания ИСПД (СЗПД) проводятся следующие мероприятия: разработка задания и проекта проведения работ (в том числе строительных и строительно- монтажных) по созданию (реконструкции) ИСПД в соответствии с требованиями технического (частного технического) задания на разработку СЗПД; выполнение работ в соответствии с проектной документацией; обоснование и закупка совокупности используемых в ИСПД серийно выпускаемых технических средств обработки, передачи и хранения информации; разработка мероприятий по защите информации в соответствии с предъявляемыми требованиями; обоснование и закупка совокупности используемых в ИСПД сертифицированных технических, программных и программно-технических средств защиты информации и их установка; проведение сертификации по требованиям безопасности информации технических, программных и программно-технических средств защиты информации в случае, когда на рынке отсутствуют требуемые сертифицированные средства защиты информации; разработка и реализация разрешительной системы доступа пользователей к обрабатываемой на ИСПД информации; определение подразделений и назначение лиц, ответственных за эксплуатацию средств защиты информации, с их обучением по направлению обеспечения безопасности ПД; разработка эксплуатационной документации на ИСПД и средства защиты информации, а также организационно-распорядительной документации по защите информации (приказов, инструкций и других документов); выполнение других мероприятий, характерных для конкретных ИСПД и направлений обеспечения безопасности ПД.

Стадия ввода в действие ИСПД (СЗПД) осуществляется: выполнение генерации пакета прикладных программ в комплексе с программными средствами защиты информации; опытная эксплуатация средств защиты информации в комплексе с другими техническими и программными средствами в целях проверки их работоспособности в составе ИСПДн; приемо-сдаточные испытания средств защиты информации по результатам опытной эксплуатации; организация охраны и физической защиты помещений ИСПДн, исключающих несанкционированный доступ к техническим средствам ИСПДн, их хищение и нарушение работоспособности, хищение носителей информации; оценка соответствия ИСПДн требованиям безопасности ПДн. Оценка соответствия ИСПДн требованиям безопасности ПДн проводится в виде: для ИСПДн 1 и 2 классов – обязательной сертификации (аттестации) по требованиям безопасности информации; для ИСПДн 3 класса – декларирования соответствия требованиям безопасности информации. Для ИСПДн 4 класса оценка соответствия проводится по решению оператора.

Для функционирующих ИСПД доработка (модернизация) СЗПД должна проводиться в случае, если: изменился состав или структура самой ИСПД или технические особенности ее построения (изменился состав или структура программного обеспечения, технических средств обработки ПД, топологии ИСПД); изменился состав угроз безопасности ПД в ИСПД; изменился класс ИСПД.

В соответствии с положениями Федерального закона от 8 августа 2001 г. 128 «О лицензировании отдельных видов деятельности» и требованиями постановления Правительства Российской Федерации от 16 августа 2006 г. 504 «О лицензировании деятельности по технической защите конфиденциальной информации» операторы ИСПД при проведении мероприятий по обеспечению безопасности ПД (конфиденциальной информации) при их обработке в ИСПД 1,2 и 3 (распределенные системы) классов должны получить лицензию на осуществление деятельности по технической защите конфиденциальной информации в установленном порядке.