Выполнение требований федерального законодательства в области защиты информации. Практические аспекты Новиков Дмитрий Владимирович Тел. +7 /495/ 221-21-41. - презентация

1 Выполнение требований федерального законодательства в области защиты информации. Практические аспекты Новиков Дмитрий Владимирович Тел. +7 /495/

2 О компании «ARinteg» 2010 год - Ребрендинг: «Антивирусные решения» «ARinteg» Обладает соответствующими лицензиями ФСБ и ФСТЭК России, ISO 9001:2008 Имеет штат высокопрофессиональных специалистов Опыт реализации инфраструктурных проектов и проектов по ИБ ОСНОВНЫЕ НАПРАВЛЕНИЯ ДЕЯТЕЛЬНОСТИ Построение комплексных систем информационной безопасности Реализация проектов по защите персональных данных Создание систем управления рисками и соответствия стандартам Построение IT-инфраструктуры, виртуализация Внедрение и сопровождение средств защиты информации (антивирусы, межсетевые экраны, IPS/IDS, DLP и т.д.)

3 Наши партнеры

4 Законодательство в области защиты информации Закон «Об информации, информационных технологиях и о защите информации» 149-ФЗ Указ президента РФ 188 «Об утверждении перечня сведений конфиденциального характера» Постановление Правительства РФ 781 «Об утверждении Положения об обеспечении безопасности ПДн при их обработке в ИСПДн» Постановление Правительства РФ 512 «Об утверждении требований к материальным носителям биометрических ПДн и технологиям хранения таких данных вне ИСПДн» Постановление Правительства РФ 211 от «Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами» Закон «О персональных данных» 152-ФЗ Закон «"Об основах охраны здоровья граждан в Российской Федерации« ФЗ-323 Закон «Об электронной подписи» 63-ФЗ Конституция Российской Федерации Указ президента РФ 351 «О мерах по обеспечению информационной безопасности Российской Федерации при использовании информационно-телекоммуникационных сетей международного информационного обмена» Постановление Правительствa РФ 687 «Об утверждении Положения об особенностях обработки ПДн, осуществляемой без использования средств автоматизации» Закон «О государственной геномной регистрации в Российской Федерации» 242-ФЗ

5 Законодательство в области защиты информации Приказ ФСТЭК, ФСБ РФ и Министерства информационных технологий и связи 55/86/20 «Об утверждении Порядка проведения классификации информационных систем персональных данных» Приказ ФСТЭК России 58 «Об утверждении положения о методах и способах защиты информации в ИСПДн без использования криптосредств с использованием криптосредств ФСТЭК России. Базовая модель угроз безопасности персональных данных при их обработке в ИСПДн ФСТЭК России. Методика определения актуальных угроз безопасности ПДн при их обработке в ИСПДн ФСБ России. Методические рекомендации по обеспечению с помощью криптосредств безопасности ПДн при их обработке в ИСПДн с использованием средств автоматизации ФСБ России. Типовые требования по организации и обеспечению функционирования шифровальных (криптографических) средств…. «Специальные требования и рекомендации по технической защите конфиденциальной информации» (СТР-К) Стандарты в области защиты информации Стандарты в области информатизации здравоохранения Приказы, Положения, Рекомендации, Нормативно- методические документы Минздравсоцразвития

6 Виды информации, подлежащие защите Персональные данным (ПДн) относятся: любая информация, относящаяся прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных) К специальным ПДн относятся: персональные данные, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных и философских убеждений, состояния здоровья, интимной жизни К биометрическим ПДн относятся: сведения, характеризующие физиологические и биологические особенности человека и на основе которых можно установить его личность К геномным ПДн относятся: сведения, включающие кодированную информацию об определенных фрагментах дезоксирибонуклеиновой кислоты физического лица или неопознанного трупа, не характеризующих их физиологические особенности К врачебной тайне относится: сведения о факте обращения гражданина за оказанием медицинской помощи, состоянии его здоровья и диагнозе, иные сведения, полученные при его медицинском обследовании и лечении К информации, составляющей коммерческую тайну относится: научно-техническая, технологическая, производственная, финансово-экономическая или иная информация (в том числе составляющая секреты производства (ноу-хау), которая имеет действительную или потенциальную коммерческую ценность в силу неизвестности ее третьим лицам, к которой нет свободного доступа на законном основании и в отношении которой обладателем такой информации введен режим коммерческой тайны

7 Основные мероприятия по защите информации Мероприятия по защите информации Организационные мероприятия Технические мероприятия Основные организационные мероприятия: - определение структурного подразделения или ответственного лица, ответственного за обеспечение обрабатываемой информации - определение и категорирование обрабатываемой информации - определение и классификация ИС - определение актуальных угроз информации (нарушителей) - разработка Концепции (Политики) обеспечения информационной безопасности в организации - разработка и утверждение Плана реализации мероприятий - разработка и утверждение ОРД в части ИБ - разработка Технического проекта на создание СИБ - разработка ОРД в части мониторинга и контроля - разработка и утверждение Плана повышения квалификации сотрудников в части ИБ Основные технические мероприятия: - физическая защита помещений -подсистема управления доступом и мониторинга действий пользователей - подсистема идентификации и аутентификации пользователей - обеспечение целостности - антивирусная защита - межсетевое экранирование - криптографическая защита - подсистема обнаружения вторжений - подсистема анализа защищенности - подсистема резервирования информации - защита информации от утечки по техническим каналам

8 Наш Опыт Опыт реализации проектов в различных отраслях: кредитно-финансовая сфера; медицина; НПФ; государственные, муниципальные учреждения и др. Основные этапы проекта Подготовительный этап Предпроектное обследование Разработка организационно- распорядительных документов Проектирование и ввод в эксплуатацию системы защиты ПДн

9 Спасибо за внимание !!!