Обеспечение информационной безопасности при подготовке и проведении единого государственного экзамена в 2012 году Начальник отдела по информационной безопасности. - презентация

1 Обеспечение информационной безопасности при подготовке и проведении единого государственного экзамена в 2012 году Начальник отдела по информационной безопасности ФГБУ «Федеральный центр тестирования» Палютин А.Н.

2 Нормативные требования по защите персональных данных Создание системы защиты информации Критерии классификации ИСПДн Анализ состояния информационной инфраструктуры РЦОИ Мониторинг ЗКСПД и анализ причин отказов связи Содержание

3 Указ Президента Российской Федерации от 06 марта 1997 г. 188 «О введении в действие перечня сведений конфиденциального характера» Федеральный закон от 27 июля 2006 г. 149-ФЗ «Об информации, информационных технологиях и о защите информации» Федеральный закон от 27 июля 2006 г. 152-ФЗ «О персональных данных» Постановление Правительства РФ от 17 ноября 2007 г. 781, утверждающее «Положение об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных» Приказ ФСТЭК России, ФСБ России, Мининформсвязи от 13 февраля 2008 г. 55/86/20, утверждающий «Порядок проведения классификации информационных систем персональных данных» Нормативная база

4 Создание системы защиты информации Система защиты информации Документация по защите информации применительно к объекту информатизации Специалисты по защите информации, прошедшие подготовку Технические средства защиты информации и контроля эффективности ее защиты

5 категория 1 - персональные данные, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных и философских убеждений, состояния здоровья, интимной жизни категория 1 - персональные данные, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных и философских убеждений, состояния здоровья, интимной жизни категория 2 - персональные данные, позволяющие идентифицировать субъект персональных данных и получить о нем дополнительную информацию, за исключением персональных данных, относящихся к категории 1 категория 2 - персональные данные, позволяющие идентифицировать субъект персональных данных и получить о нем дополнительную информацию, за исключением персональных данных, относящихся к категории 1 категория 3 - персональные данные, позволяющие идентифицировать субъект персональных данных категория 3 - персональные данные, позволяющие идентифицировать субъект персональных данных категория 4 - обезличенные и (или) общедоступные персональные данные категория 4 - обезличенные и (или) общедоступные персональные данные Критерии классификации ИСПДН: Категория

6 Более субъектов персональных данных или персональные данные субъектов персональных данных в пределах субъекта Российской Федерации или Российской Федерации в целом От 1000 до субъектов персональных данных или персональные данные субъектов персональных данных, работающих в отрасли экономики Российской Федерации, в органе государственной власти, проживающих в пределах муниципального образования Менее 1000 субъектов персональных данных или персональные данные субъектов персональных данных в пределах конкретной организации. Критерии классификации ИСПДН: Объем

7 Классификация типовой ИСПДН Объем/Категория Объем 3 (< 1 000, организация) Объем 2 (1 000 – , отрасль, город) Объем1 (> , субъект РФ) Категория 4 (обезличенные, общедоступные) Класс 4 Категория 3 (идентификационные) Класс 3 Класс 2 Категория 2 (идентификационные и еще) Класс 3Класс 2Класс 1 Категория 1 (медицинские, социальные) Класс 1

8 класс 1 (К1) - информационные системы, для которых нарушение заданной характеристики безопасности персональных данных, обрабатываемых в них, может привести к значительным негативным последствиям для субъектов персональных данных класс 2 (К2) - информационные системы, для которых нарушение заданной характеристики безопасности персональных данных, обрабатываемых в них, может привести к негативным последствиям для субъектов персональных данных класс 3 (К3) - информационные системы, для которых нарушение заданной характеристики безопасности персональных данных, обрабатываемых в них, может привести к незначительным негативным последствиям для субъектов персональных данных класс 4 (К4) - информационные системы, для которых нарушение заданной характеристики безопасности персональных данных, обрабатываемых в них, не приводит к негативным последствиям для субъектов персональных данных Классификация типовой ИСПДН

9 Разработка документации на ИСПДн: -Техническое задание на разработку системы; -Технический проект системы; -Технический паспорт системы; -Матрица доступа; -Инструкция администратора; -Инструкция администратора безопасности; -Инструкция пользователя Аттестация ИСПДН ЦОД ФГБУ ФЦТ по классу АИС 1Г ИСПДН применительно к ФИС ЕГЭ и приема

10 Аттестация информационных систем РЦОИ

11 Планы по аттестации Информационных систем РЦОИ

12 Наличие защищенной сети передачи данных между МОУО и РЦОИ

13 Наличие защищенной сети передачи данных между образовательными учреждениями и МОУО/РЦОИ

14 Мониторинг состояния каналов ЗКСПД (фрагмент ежедневного отчета)

15 Регионы, имевшие наибольшее число отказов связи в период апрель – июль 2012 года Чукотский АО 23 Тульская область 19 Мурманская обл. 17 Москва 14 Тамбовская область 11 Ненецкий автономный округ 13 Тюменская область 13 Рязанская область 10 Омская область 8 Общее число отказов 276

16 Распределение причин отказов