Скачать презентацию
Идет загрузка презентации. Пожалуйста, подождите
Презентация была опубликована 12 лет назад пользователемst.drweb.com
1 Реализация системы защиты персональных данных с учетом последних изменений в законодательстве Радюга Дмитрий Леонидович Начальник отдела Информационной безопасности ООО «Прайм»
2 О компании «Прайм» Более 15 лет на рынке, широкий спектр услуг. Более 1500 клиентов: региональные министерства и ведомства, крупные учреждения здравоохранения, образования и культуры, промышленные предприятия, а также предприятия среднего и малого бизнеса. Основные направления деятельности: Системы автоматизации управления предприятием; Поддержка и сопровождение информационных систем; Обучение в сфере ИТ; Поставка компьютерной и оргтехники; Продажа ПО различного назначения; Информационная безопасность.
3 Разработка систем защиты персональных данных для информационных систем Заказчика; Поставка, установка и настройка сертифицированных средств защиты информации; Подготовка к аттестации объектов информатизации Заказчика; Аттестация объектов информатизации по требованиям безопасности информации; Аудит информационных систем Заказчика на соответствие требованиям Федерального закона «О персональных данных». Услуги ЗАО «ДиалогНаука» по защите персональных данных Услуги ООО «Прайм» в области защиты персональных данных
4 ПДн – персональные данные ИСПДн – информационная система персональных данных СЗПДн – система защиты персональных данных СЗИ – средства защиты информации СКЗИ – средства криптографической защиты информации НСД – несанкционированный доступ. Используемые сокращения
5 I.Краткий обзор требований законодательства II.Стадии работ по приведению ИСПДн к требованиям законодательства III.Предпроектное обследование ИСПДн IV.Стадия проектирования СЗПДн V.Обзор современных средств защиты информации VI. Примеры комплексных решений по защите ПДн VII.Стадия оценки соответствия ИСПДн План Вебинара
6 Информационная система персональных данных (ИСПДн) – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств (п.10 ст.3 ФЗ-152). Базой данных является представленная в объективной форме совокупность самостоятельных материалов, систематизированных таким образом, чтобы эти материалы могли быть найдены и обработаны с помощью ЭВМ (ст ГК РФ). Информационные системы, обрабатывающие данные Понятие ИСПДн
7 Бухгалтерские программы: 1С, БАРС, Парус и др.; Программы кадрового учета: 1С, Парус и др.; CRM-системы с информацией о действующих и потенциальных клиентах: Парус, Microsoft Dynamics CRM и др.; ERP-системы, обрабатывающие ПДн: Галактика и др. Информационные системы, обрабатывающие данные Примеры ИСПДн
8 Оператор при обработке персональных данных обязан принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных. (ч.1 ст.19 ФЗ-152) ФЗ «О персональных данных» I Требования ФЗ 152 «О персональных данных»
9 Обеспечение безопасности ПДн достигается, в частности (ч.1 ст.19 ФЗ-152): 1) определением угроз безопасности ПДн при их обработке в ИСПДн; 2) применением организационных и технических мер по обеспечению безопасности ПДн при их обработке в ИСПДн, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные Правительством РФ уровни защищенности персональных данных; 3) применением прошедших в установленном порядке процедуру оценки соответствия средств защиты информации; ФЗ «О персональных данных» Требования ФЗ 152 «О персональных данных»
10 4) оценкой эффективности принимаемых мер по обеспечению безопасности ПДн до ввода в эксплуатацию ИСПДн; 5) учетом машинных носителей персональных данных; 6) обнаружением фактов НСД к ПДн и принятием мер; 7) восстановлением ПДн, модифицированных или уничтоженных вследствие НСД к ним; 8) установлением правил доступа к ПДн, обрабатываемым в ИСПДн, а также обеспечением регистрации и учета всех действий, совершаемых с ПДн в ИСПДн; 9) контролем за принимаемыми мерами по обеспечению безопасности ПДн и уровня защищенности ИСПДн. ФЗ «О персональных данных» Требования ФЗ 152 «О персональных данных»
11 Автоматизированная обработка ПДН - обработка ПДн с помощью средств вычислительной техники (п.4 ст.3 ФЗ-152) Требования к обеспечению безопасности ПДн при их обработке в ИСПДн, с использованием средств автоматизации установлены в ПП РФ 781 от 17 ноября 2007 г. "Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных" Информационные системы, обрабатывающие данные Автоматизированная обработка ПДн
12 Безопасность ПДн достигается путем исключения несанкционированного, в том числе случайного, доступа к ПДн, результатом которого может стать уничтожение, изменение, блокирование, копирование, распространение ПДн, а также иных несанкционированных действий. Безопасность ПДн при их обработке в информационных системах обеспечивается с помощью СЗПДн, включающей организационные меры и средства защиты информации (в том числе шифровальные (криптографические) средства, средства предотвращения НСД, утечки информации по техническим каналам, программно- технических воздействий на технические средства обработки ПДн), а также используемые в информационной системе информационные технологии. Для обеспечения безопасности ПДн при их обработке в информационных системах осуществляется защита речевой информации и информации, обрабатываемой техническими средствами, а также информации, представленной в виде информативных электрических сигналов, физических полей, носителей на бумажной, магнитной, магнитно-оптической и иной основе. Возможные каналы утечки информации при обработке ПДн в информационных системах определяются ФСТЭК и ФСБ РФ в пределах их полномочий. ФЗ «О персональных данных» Требования ПП РФ 781 «Об утверждении положения…»
13 Методы и способы защиты информации в информационных системах устанавливаются Федеральной службой по техническому и экспортному контролю и Федеральной службой безопасности Российской Федерации в пределах их полномочий. Достаточность принятых мер по обеспечению безопасности персональных данных при их обработке в информационных системах оценивается при проведении государственного контроля и надзора. Обмен персональными данными при их обработке в информационных системах осуществляется по каналам связи, защита которых обеспечивается путем реализации соответствующих организационных мер и (или) путем применения технических средств. Размещение информационных систем, специальное оборудование и охрана помещений, в которых ведется работа с персональными данными, организация режима обеспечения безопасности в этих помещениях должны обеспечивать сохранность носителей персональных данных и средств защиты информации, а также исключать возможность неконтролируемого проникновения или пребывания в этих помещениях посторонних лиц. ФЗ «О персональных данных» Требования ПП РФ 781 «Об утверждении положения…»
14 Мероприятия по обеспечению безопасности ПДн при их обработке в ИСПДн включают в себя: а) определение угроз безопасности ПДн при их обработке, формирование на их основе модели угроз; б) разработку на основе модели угроз системы защиты персональных данных, обеспечивающей нейтрализацию предполагаемых угроз с использованием методов и способов защиты персональных данных, предусмотренных для соответствующего класса информационных систем; в) проверку готовности средств защиты информации к использованию с составлением заключений о возможности их эксплуатации; г) установку и ввод в эксплуатацию средств защиты информации в соответствии с эксплуатационной и технической документацией; д) обучение лиц, использующих средства защиты информации, применяемые в информационных системах, правилам работы с ними; е) учет применяемых средств защиты информации, эксплуатационной и технической документации к ним, носителей персональных данных; ж) учет лиц, допущенных к работе с ПДн в информационной системе; з) контроль за соблюдением условий использования средств защиты информации, предусмотренных эксплуатационной и технической документацией; и) разбирательство и составление заключений по фактам несоблюдения условий хранения носителей персональных данных, использования средств защиты информации, которые могут привести к нарушению конфиденциальности персональных данных или другим нарушениям, приводящим к снижению уровня защищенности персональных данных, разработку и принятие мер по предотвращению возможных опасных последствий подобных нарушений; к) описание системы защиты ПДн.(п.12 ПП РФ 781 «Об утверждении Положения») ФЗ «О персональных данных» Требования ПП РФ 781 «Об утверждении положения…»
15 1.Назначить лицо, ответственное за проведение мероприятий по организации защиты ПДн в Организации. 2.При недостатке ресурсов для приведения ИСПДн к требованиям законодательства собственными силами -- найти специализированную компанию (имеющую лицензии ФСТЭК, ФСБ России) 3.Провести обследование ИС с целью оценки текущего состояния ИБ и сбора необходимых исходных данных для создания СЗПДн (определение кол-ва защищаемых объектов, их назначение, технические характеристики, схема взаимодействия между собой). 4.Урегулировать правовые вопросы обработки ПДн (согласие с субъектов, обязательство о неразглашении, уведомление в Роскомнадзор) 5.Определить угрозы безопасности ПДн в каждой ИСПДн. 6.Определить перечень обрабатываемых ПДн и провести классификацию ИСПДн. 7.Определить требования к системе защиты ПДн на основании модели угроз и класса ИСПДн (написание Технического задания на создание СЗПДн). 8.Спроектировать систему защиты персональных данных (СЗПДн): подобрать необходимые средства защиты информации (СЗИ). 9.Разработать организационно-распорядительную и регламентную документацию по обеспечению безопасности ПДн в ИСПДн. 10.Закупить, настроить, внедрить СЗИ в соответствии с разработанной документацией. 11.Провести обучение ответственных лиц и сотрудников правилам работы с СЗИ. 12.Распределить ответственность между сотрудниками Организации допущенными к работе с ПДн: назначить пользователей, администраторов безопасности, ответственных за эксплуатацию ИСПДн, а также ответственного за обработку ПДн в Организации – для каждой группы допущенных к ПДн разработать Инструкции. 13.На основании положительных результатов оценки соответствия ввести ИСПДн в опытную эксплуатацию. 14.Провести оценку соответствия ИСПДн требованиям по безопасности информации (с привлечением специализированной организации – лицензиата ФСТЭК России). 15.Организовать контроль соблюдения использования СЗИ и обеспечить управление обеспечением безопасности ПДн в динамике изменения обстановки и контроля эффективности защиты, включая учет применяемых СЗИ и носителей ПДн, а также учет лиц, допущенных к работе с ПДн. ФЗ «О персональных данных» Порядок действий при организации защиты ПДн в ИСПДн
16 Предпроектное обследование ИСПДн Проектирование и реализация СЗПДн Оценка соответствия ИСПДн II. Этапы приведения ИСПДн в соответствии с требованиями закона
17 Необходимость получения лицензии ФСТЭК ПРОТИВЗА п СТР-К: «Разработка мер и обеспечение защиты информации осуществляются подразделениями по защите информации или отдельными специалистами, назначаемыми руководителями для проведения таких работ» - п.1 ст. 49 ГК РФ; - п.11 ч.1 ст.17 ФЗ 128 от «О лицензировании отдельных видов деятельности»; - ПП РФ 504 от «О лицензировании деятельности по технической защите конфиденциальной информации» Судебные решения: Постановления ФАС ВВО от А / , апелляц. инстанции Арбитражного суда Свердловской области от А /2004-С9, ФАС СЗО от N А /2007, ФАС ВВО от N А / , решении Арбитражного суда Свердловской области от А /2008-С9 Регулятор (ФСТЭК): письменные ответы на запросы о необходимости получения лицензии для «собственных нужд»
19 1. Определение количества ИСПДн, их состава и назначения, а также границ каждой ИСПДн. 2. Определения Перечня ПДн для каждой ИСПДн. 3. Определение юридических оснований для обработки ПДн (есть ли согласие субъектов на обработку ПДн, уведомлен ли Регулятор о начале обработке?). 4. Определение целей создания ИСПДн (на каком основании функционирует) и способов обработки ПДн (автоматизированная, неавтоматизированная, смешанная) – для каждой ИСПДн. 5. Определение технических средств и систем, которые используются в ИСПДн (кол-во серверов, клиентов, автономных АРМ, их конфигурация, схема взаимодействия в составе ЛВС). 6. Разработка частной модели угроз безопасности ПДн – для каждой ИСПДн. 7. Определение класса ИСПДн – для каждой ИСПДн. 8. Уточнение степени участия персонала в обработке ПДн, распределение ролей. 9. Разработка организационно-распорядительной и регламентной документации (приказы, инструкции, журналы учета, положения и др.). III. Предпроектное обследование
20 Перечень разрабатываемых документов I. Документы, регламентирующие обработку ПДн в Организации (урегулирование юридической стороны вопроса): 1)Письменное согласие субъекта на обработку ПДн; 2)Согласие субъекта на передачу ПДн конкретной организации (банк, страховая компания и др.); 3)Обязательство о неразглашении персональных данных с сотрудников, допущенных к ПДн; 4)Журнал учёта обращений субъектов ПДн о выполнении их законных прав; 5)Уведомление об обработке ПДн в Роскомнадзор. II Документы регламентирующие защиту ПДн в Организации (организационно-распорядительная и регламентная документация): 6)План контролируемой зоны Организации; 7)Перечень ИСПДн в Организации; 8)Перечень ПДн, обрабатываемых в каждой ИСПДн; 9)Положение об обработке персональных данных в Организации; 10)Перечень сотрудников, допущенных к работе с ПДн в Организации; 11)Описание технологии обработки ПДн в ИСПДн; 12)Список постоянных пользователей ИСПДн; 13)Перечень защищаемых информационных ресурсов в ИСПДн; 14)Разрешительная система доступа пользователей к защищаемым информационным ресурсам ИСПДн; 15)Приказ о создании комиссии по определению угроз безопасности ПДн в ИСПДн и классификации ИСПДн; 16)Модель угроз безопасности персональных данных в ИСПДн; 17)Акт классификации ИСПДн; 18)Приказ о назначении ответственного лица за обработку ПДн в Организации; 19)Приказ о назначении администратора безопасности ИСПДн; 20)Приказ о назначении ответственного за эксплуатацию ИСПДн; 23)Инструкция пользователя ИСПДн; 24)Инструкция ответственного за обработку ПДн в Организации; 25)Инструкция администратора безопасности ИСПДн; 26)Инструкция ответственному за эксплуатацию ИСПДн; 27)Инструкция по организации антивирусной защиты; 28)Инструкция по организации парольной защиты; 29)Инструкция по работе в сетях связи общего пользования; 30)Регламент резервного копирования информации; 31)Журнал учета съемных носителей информации 32)Инструкция по эксплуатации съемных носителей ПДн
21 Документы, регулирующие правовые вопросы обработки ПДн
22 1.Согласие субъекта на обработку ПДн Основание: обработка ПДн осуществляется с согласия субъекта ПДн на обработку его ПДн (п.1 ч.1 ст.6 ФЗ-152). Назначение: возможность дальнейшей законной обработки ПДн. Вид документа: на бумажном носителе в письменном виде, электронный документ с электронной подписью субъекта. Содержание документа: ч.4 ст.9 ФЗ-152. Кто разрабатывает: сотрудник отдела кадров. Кто подписывает: каждый субъект, чьи ПДн предполагается обрабатывать (или чьи ПДн уже обрабатываются). Когда подписывает: при приеме на работу, при заключении договора т.е. с момента факт. начала обработки ПДн.
23 Письменное согласие должно включать в себя (ч.4 ст.9 ФЗ-152): 1) фамилию, имя, отчество, адрес субъекта ПДн, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе; 2) наименование или фамилию, имя, отчество и адрес (юридический) оператора, получающего согласие субъекта ПДн; 3) цель обработки персональных данных; 4) перечень персональных данных, на обработку которых дается согласие субъекта ПДн; 5) перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых оператором способов обработки персональных данных; 6) срок, в течение которого действует согласие, а также способ его отзыва. 7)подпись субъекта персональных данных. 1.Согласие субъекта на обработку ПДн
24 В случае, если согласие субъекта ПДн получается через его законного представителя, то в Согласии необходимо указать фамилию, имя, отчество, адрес представителя субъекта ПДн, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе, реквизиты доверенности или иного документа, подтверждающего полномочия этого представителя. 1.Согласие субъекта на обработку ПДн
26 Оператор вправе поручить обработку ПДн другому лицу с согласия субъекта ПДн, если иное не предусмотрено федеральным законом, на основании заключаемого с этим лицом договора, в том числе государственного или муниципального контракта, либо путем принятия государственным или муниципальным органом соответствующего акта (далее - поручение оператора). Лицо, осуществляющее обработку ПДн по поручению оператора, обязано соблюдать принципы и правила обработки ПДн, предусмотренные настоящим ФЗ. В поручении оператора должны быть определены перечень действий (операций) с ПДн, которые будут совершаться лицом, осуществляющим обработку ПДн, и цели обработки, должна быть установлена обязанность такого лица соблюдать конфиденциальность ПДн и обеспечивать безопасность ПДн при их обработке, а также должны быть указаны требования к защите обрабатываемых ПДн в соответствии со ст. 19 ФЗ. (ч.3-5 ст. 6 ФЗ-152) 1.Согласие субъекта на обработку ПДн
27 Лицо, осуществляющее обработку персональных данных по поручению оператора, не обязано получать согласие субъекта персональных данных на обработку его персональных данных. В случае, если оператор поручает обработку персональных данных другому лицу, ответственность перед субъектом персональных данных за действия указанного лица несет оператор. Лицо, осуществляющее обработку персональных данных по поручению оператора, несет ответственность перед оператором. В случае если оператор поручает обработку персональных данных другому лицу, то в Согласии необходимо также указать наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку ПДн по поручению оператора. 1.Согласие субъекта на обработку ПДн
28 Письменное согласие субъекта ПДн должно включать все сведения, предусмотренные ч.4 ст.9 ФЗ-152, в противном случае согласие признаётся недействительным и при проведении проверки Роскомнадзором в предписании о правонарушении вносится пометка «согласия субъектов ПДн не соответствуют по форме требованиям законодательства». Равнозначным содержащему собственноручную подпись субъекта персональных данных согласию в письменной форме на бумажном носителе признается согласие в форме электронного документа, подписанного в соответствии с федеральным законом электронной подписью (ч.4 ст.9 ФЗ-152). 1.Согласие субъекта на обработку ПДн
29 2. Согласие субъекта на передачу ПДн третьим лицам
30 3.Обязательство о неразглашении ПДн работниками Учреждения Основание: п.1 ст.6 ФЗ-152 Назначение: обязательство о неразглашении конфиденциальной информации; Форма документа: произвольная; Тип документа: отдельный документ, либо доп. соглашение к трудовому договору; Кто разрабатывает: сотрудник отела кадров; Кто подписывает: сотрудник, имеющий доступ к ПДн.
31 3.Обязательство о неразглашении ПДн работниками Учреждения
32 4.Журнал учёта обращений субъектов ПДн о выполнении их законных прав п/п ФИО субъекта ПДн Дата обращения Цель обращения субъекта ПДн Отметка об исполнении ФИО исполнителя Роспись исполнителя 1 Иванов Иван Иванович информирование Петров П.П. 2 Семенов Семен Семенович прекращение обработки Петров П.П. 3 Кузнецов Олег Олегович уточнение ПДн Петров П.П. Ведется сотрудником, назначенным ответственным за обработку ПДн в Организации.
33 5.Уведомление об обработке ПДн Основание: ст.22 ФЗ-152 Назначение: информирование уполномоченного органа о намерении Оператора осуществлять обработку ПДн Содержание документа: ч.3 ст. 22 ФЗ-152 Форма подачи документа: на бумажном носителе или в форме электронного документа Срок подачи: до начала фактической обработки ПДн Кто разрабатывает: ответственный за обработку ПДн Кто подписывает: уполномоченное лицо Исключение: перечислены в п.2 ст.22 ФЗ-152
34 5. Уведомление об обработке ПДн можно не подавать (ч.2 ст.22 ФЗ-152) Оператор вправе осуществлять БЕЗ УВЕДОМЛЕНИЯ уполномоченного органа по защите прав субъектов персональных данных обработку ПДн: 1)обрабатываемых в соответствии с трудовым законодательством; 2)полученных оператором в связи с заключением договора, стороной которого является субъект персональных данных, если персональные данные не распространяются, а также не предоставляются третьим лицам без согласия субъекта персональных данных и используются оператором исключительно для исполнения указанного договора и заключения договоров с субъектом персональных данных; 3)относящихся к членам (участникам) общественного объединения или религиозной организации и обрабатываемых соответствующими общественным объединением или религиозной организацией, действующими в соответствии с законодательством Российской Федерации, для достижения законных целей, предусмотренных их учредительными документами, при условии, что персональные данные не будут распространяться или раскрываться третьим лицам без согласия в письменной форме субъектов ПДн;
35 4)сделанных субъектом персональных данных общедоступными; 5)включающих в себя только фамилии, имена и отчества субъектов персональных данных; 6)необходимых в целях однократного пропуска субъекта персональных данных на территорию, на которой находится оператор, или в иных аналогичных целях; 7)включенных в информационные системы персональных данных, имеющие в соответствии с федеральными законами статус государственных автоматизированных информационных систем, а также в государственные информационные системы персональных данных, созданные в целях защиты безопасности государства и общественного порядка; 8)обрабатываемых без использования средств автоматизации в соответствии с федеральными законами или иными нормативными правовыми актами Российской Федерации, устанавливающими требования к обеспечению безопасности персональных данных при их обработке и к соблюдению прав субъектов персональных данных. 5. Уведомление об обработке ПДн можно не подавать (ч.2 ст.22 ФЗ-152)
36 9)обрабатываемых в случаях, предусмотренных законодательством Российской Федерации о транспортной безопасности, в целях обеспечения устойчивого и безопасного функционирования транспортного комплекса, защиты интересов личности, общества и государства в сфере транспортного комплекса от актов незаконного вмешательства. 5. Уведомление об обработке ПДн можно не подавать (ч.2 ст.22 ФЗ-152)
37 1)Наименование оператора (или ФИО ИП), адрес оператора; 2)Цель обработки персональных данных; 3)Категории персональных данных; 4)Категории субъектов, персональные данные которых обрабатываются; 5)Правовое основание обработки персональных данных; 6)Перечень действий с ПДн, общее описание используемых оператором способов обработки ПДн; 7)Описание мер, предусмотренных ст и 19 настоящего ФЗ, в том числе сведения о наличии СКЗИ и наименования этих средств; 8)Фамилия, имя, отчество физ. лица или наименование юр. лица, ответственных за организацию обработки ПДн, и номера их контактных телефонов, почтовые адреса и адреса электронной почты; 9)Дата начала обработки персональных данных; 10)Срок или условие прекращения обработки персональных данных 11)Сведения о наличии или об отсутствии трансграничной передачи ПДн; 12)сведения об обеспечении безопасности ПДн в соответствии с требованиями к защите ПДн, установленными Правительством Российской Федерации. 5. Уведомление об обработке ПДн. СОДЕРЖАНИЕ
38 Адрес для подачи заполненных Уведомлений об обработке по почте: территориальный орган Роскомнадзора по месту регистрации Оператора (75 территориальных органов). Адреса можно узнать на сайте Роскомнадзора Уведомление можно заполнить в электронной форме по адресу: затем распечатать, подписать и отправить по почте в территориальный орган Роскомнадзора. 5. Уведомление об обработке ПДн. Кому и куда подавать???
39 Операторы, которые осуществляли обработку персональных данных до 1 июля 2011 года, обязаны представить в уполномоченный орган по защите прав субъектов персональных данных сведения, указанные в пунктах 5, 7.1, 10 и 11 части 3 ст. 22 настоящего ФЗ, не позднее 1 января 2013 года. (п. 2.1 ч.2 ст. 25 ФЗ-152) 5. Уведомление об обработке ПДн. Дополнительная информация
40 Т.е. тем, кто уже подал Уведомление необходимо сообщить уполномоченному органу по защите прав субъектов ПДн доп. информацию: правовое основание обработки персональных данных; фамилия, имя, отчество физического лица или наименование юр. лица, ответственных за организацию обработки ПДн, и номера их контактных телефонов, почтовые адреса и адреса электронной почты; сведения о наличии или об отсутствии трансграничной передачи ПДн в процессе их обработки; сведения об обеспечении безопасности ПДн в соответствии с требованиями к защите ПДн, установленными Правительством РФ. 5. Уведомление об обработке ПДн. Дополнительная информация
41 Реестр Операторов Роскомнадзор в течение 30 дней с даты поступления уведомления об обработке персональных данных вносит сведения в Реестр Операторов. Сведения, содержащиеся в Реестре Операторов, за исключением сведений о средствах обеспечения безопасности персональных данных при их обработке, являются общедоступными. Реестр Операторов находится по адресу: Заявление о предоставлении выписки из реестра операторов, осуществляющих обработку персональных данных можно заполнить на сайте: (распечатать, подписать, отправить в территориальный орган Роскомнадзора по месту регистрации Оператора)
42 Как правило, на начальной стадии работ (до классификации ИСПДн и внедрения системы защиты ИСПДн), отсутствуют необходимые сведения для заполнения и подачи Уведомления об обработке ПДн в Роскомнадзор. Уведомление об обработке ПДн все равно необходимо подать, и в дальнейшем (когда будет проведена классификация ИСПДн и реализована СЗПДн) необходимо сообщить в Роскомнадзор дополнительную информацию о произошедших изменениях для внесения изменений в Реестр Операторов (информационное письмо о внесении изменений можно заполнить в электронном виде по адресу: затем распечатать, подписать и отправить в территориальный орган Роскомнадзора. Непредставление или несвоевременное предоставление Уведомления об обработке ПДн влечет адм. ответственность в соответствии со ст и 19.7 КоАП РФ: предупреждение или наложение адм. штрафа на юридических лиц - от 3000 до 5000 руб. 5. Уведомление об обработке ПДн. Затруднения при составлении
43 II Организационно - распорядительная и регламентная документация
44 6.План контролируемой зоны Организации Контролируемая зона (КЗ) - это территория объекта, на которой исключено неконтролируемое пребывание лиц, не имеющих постоянного или разового пропуска. Контролируемая зона может ограничиваться: периметром охраняемой территории, ограждающими конструкциями здания; частью здания, кабинетом. Контролируемая зона может устанавливаться размером больше, чем охраняемая территория, при этом она должна обеспечивать постоянный контроль за неохраняемой частью территории. Границы КЗ устанавливается Приказом Руководителя, в Приложении к приказу приводится схема здания с указанием границ КЗ.
45 7.Перечень ИСПДн в Организации Название ИСПДнМестонахождениеЗаводской (инв.) ПЭВМ 1С Кадры 8.1 Индекс, Город, улица, дом, корп., этаж, кабинет (кабинеты) _______________ 1С Бухгалтерия 7.7 Индекс, Город, улица, дом, корп., этаж, кабинет (кабинеты) _______________ Microsoft Dynamics CRM Индекс, Город, улица, дом, корп., этаж, кабинет (кабинеты) _______________
46 8.Перечень ПДн, подлежащих защите в ИСПДн Основание для разработки: п.1 ст.86 ТК РФ; абз.1 п.4 Порядка классификации. Назначение: уточнение состава ПДн в каждой ИСПДн и документарное закрепление состава обрабатываемых ПДн в ИСПДн; Количество: составляется для каждой выявленной ИСПДн Форма документа: произвольная. Кто разрабатывает: сотрудник ОК / Бухгалтер / ответственное лицо, назначенное приказом Руководителя; Утверждает: руководитель
47 Вид субъекта ПДн Основания для обработки Перечень персональных данных Срок хранения, условия прекращения обработки Сотрудники Глава 14 Трудового кодекса, Письменное согласие субъекта Фамилия Имя Отчество Дата рождения Место рождения (Страна, Край/область, Район, Населенный пункт) Свидетельство о рождении (Серия, номер, Кем выдан, Дата выдачи) Размер оклада и общей з/п Идентификационный номер налогоплательщика (ИНН) Страховой номер Сведения о воинском учете Образование и т.д. До достижения заявленных целей обработки или отзыва согласия субъекта, 75 лет после увольнения сотрудника КонтрагентыВ целях исполнения Договора (ст.6, п.2. ФЗ-152 от ), письменное согласие субъекта Фамилия Имя Отчество ИНН Место регистрации (Страна, Регион, Район, Город, Населенный пункт, Улица, Дом, Корпус, Строение, Квартира, Офис) Дата регистрации Телефон Факс Банковский счет и т.д. До достижения заявленных целей обработки 8.Перечень ПДн, подлежащих защите в ИСПДн
48 9.Положение об обработке ПДн в Организации Основание для разработки: ч.2 ст.5, ч.3 ст.20, ч.3-5 ст.21, ст.25 ФЗ-152; ст.88 ТК РФ; п.16 Положения, утвержденного ПП-781; п.3, п Положения, утвержденного ПП-687 Назначение: устанавливает порядок обработки и защиты ПДн в Организации; Форма и содержание документа: произвольные. Кто разрабатывает: сотрудник отдела кадров; Утверждается: приказом Руководителя. C Положением должны быть ознакомлены все сотрудники!!!
49 I Общие положения: указывается цель, основание для разработки, порядок утверждения II Основные понятия и состав персональных данных: дается определение ПДн, приводится перечень документов в организации, содержащие ПДн работников/клиентов/контрагентов III Обработка персональных данных: дается определение обработки, уточняется перечень возможных действий с ПДн (напр. получение, хранение, и использование) и порядок осуществления таких действий (напр. только с письменного согласия субъекта) 9.Положение об обработке ПДн в Организации
50 IV Передача персональных данных: при передаче ПДн передача третьим лицам (с письменного согласия), запрет при передаче ПДн по факсу и телефону. V Доступ к персональным данным: внутренний (перечень должностей Организации имеющих доступ к ПДн) и внешний доступ (перечень организаций, имеющих доступ к ПДн: военкоматы, ИФНС и т.д.) VI Защита персональных данных: обязательство о неразглашении, общее описание защиты ПДн при хранении в бумажном виде (сейфы, шкафы) и в электронном (пароли, средства защиты и т.д.) VII Ответственность за разглашение ПДн – будет рассмотрена далее. 9.Положение об обработке ПДн в Организации
51 10.Перечень сотрудников, допущенных к работе с ПДн в Организации п/п Фамилия, Имя, ОтчествоПодразделение, должность 1Иванов Иван ИвановичДиректор 2 Петров Петр ПетровичЗаместитель директора 3 Сидоров Сидор СидоровичГлавный бухгалтер 4 Кадров Сергей СергеевичНачальник отдела кадров 5 Подкадров Василий ВасильевичСотрудник отдела кадров 6 Клиентов Андрей АндреевичНачальник отдела по работе с клиентами … …… Список утверждается Руководителем, можно сделать как приложение к Положению об обработке ПДн.
52 11.Описание технологии обработки ПДн в ИСПДн Таблица 1 – Получение персональных данных Категории субъектов ПДн Способ получения ПДн Источник получения ПДн Перечень полученных ПДн Тех. процесс, использующий ПДн Основания для обработки ПДн Сотрудники Сотрудник приносит свои персональные данные на бумажном носителе, затем эти данные заносятся в программу «1С Предприятие 7.7» - Паспорт - Страховое свидетельство ПФР - ИНН - Диплом об образовании - Документы о повышении квалификации - и т.д. - Фамилия - Имя - Отчество - Дата рождения - Пол - ИНН - Гражданство - Номер ПФР - Адрес регистрации - Паспортные данные - Прием сотрудника на работу - Увольнение сотрудника - Начисление сотруднику з/п, премии, командировочн ых, отпускных Трудовой кодекс РФ, согласие субъекта ПДн КонтрагентыКонтрагент приносит свои реквизиты с ПДн на бумажном носителе или отправляет по эл. почте, затем эти ПДн заносятся в программу «1С» - Учредительные документы - ИНН - Фамилия - Имя - Отчество - ИНН - Место регистрации - Дата регистрации - Телефон - Банковский счет и т.д. - Взаиморасчеты с контрагентом В целях исполнения Договора (ст.6, п.2, ФЗ-152 от ), согласие субъекта
53 Таблица 2 – Обработка персональных данных * видами обработки персональных данных являются: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение. Категории субъектов, чьи ПДн обрабатываются в ИСПДн Применяемые виды* обработки ПДн Срок хранения, условия прекращения обработки ПДн Сотрудники сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача На период работы, отзыва согласия субъекта, 75 лет после увольнения в архиве Контрагентысбор, систематизация, накопление, хранение, уточнение (обновление, изменение), использование До полного исполнения обязательств по Договору 11.Описание технологии обработки ПДн в ИСПДн
54 Таблица 3 – Передача персональных данных Перечень организаций, которым Оператор передает ПДн Способ передачи ПДн Перечень передаваемых ПДн Основания для передачи ПДн 1234 ОАО «ОмскБанк» (Адрес: , г. Омск, ул. Омская,д.1) Персональные данные из программы «1С: Предприятие 7.7» распечатываются на бумажном носителе (платежная ведомость), далее вручную заносятся в отчетную ведомость банка установленной формы формата *.xls. Затем данные с помощью программы «Клиент Банк» подписываются электронной цифровой подписью и передаются через Интернет непосредственно в ОАО «ОмскБанк» для начисления сотруднику заработной платы на банковскую карточку (передача ПДн происходит один раз в месяц) - Фамилия; - Имя; - Отчество; - Дата рождения, - Л/с в банке - Размер з/п 1. Договор между ООО «РиК» и ОАО «ОмскБанк», 2. Согласие субъекта на передачу ПДн Отделение ПФР (Адрес: , г. Омск, ул. Пенсионная, д2 корп 3.) Персональные данные выгружаются из программы «1С: Предприятие. 7.7» на бумажный носитель (индивидуальная карточка сумм начисленных выплат), далее данные вручную заносятся в программу «ПФР». Передача ПДн в ПФР осуществляется путем выгрузки данных из программы «ПФР» в формат *.xml, последующим импортом данных в программу «Контур-Экстерн Лайт», которая подписывает отправляемые данные ЭЦП и осуществляет защищенную передачу данных в ПФР через Интернет. - ФИО Дата рождения - страх. св-ва - ИНН - Паспортные данные - База по начислению страховых взносов 1. Трудовой кодекс РФ, 2.Федеральный закон «Об обязательном пенсионном страховании в РФ» от г. 167-ФЗ 11.Описание технологии обработки ПДн в ИСПДн
55 Продолжение Таблица 3 – Передача персональных данных 1234 Инспекция Федеральной налоговой службы (Адрес: , г. Омск, ул. Налоговая, д. 3) Персональные данные заносятся в программу «Контур-Экстерн», подвергаются корректировке и проверке, после чего подписываются ЭЦП и отправляются в ИФНС через Интернет - Фамилия - Имя - Отчество - ИНН - Дата рождения - Гражданство - Паспортные данные - Адрес места жительства - Адрес в стране проживания - Сведения о доходах за отчетный период - Сумма НДФЛ 1. Налоговый кодекс РФ 2. В целях исполнения трудового договора ………… 11.Описание технологии обработки ПДн в ИСПДн
56 Таблица 4 – Передача персональных данных ФИО и должность сотрудника подразделения, имеющего доступ к ПДн Имеется ли у сотрудника доступ в Интернет (ДА/НЕТ) Имеется ли у сотрудника возможность подкл. к системам, обраб. ПДн, находясь вне учреждения (ДА/НЕТ) Программные продукты, в которых осуществляется обработка ПДн Заводской (инв.) номер ПЭВМ, за которым работает сотрудник Сидоров Сидор Сидорович – главный бухгалтер ДаНет «1С Предприятие 7.7 Зарплата и кадры» _____________ «Программа подготовки отчетных документов для ПФР» «Клиент Банк» «Контур-Экстерн» «Контур-Экстерн Лайт» 11.Описание технологии обработки ПДн в ИСПДн
57 12.Список помещений, в которых разрешена обработка ПДн п/п Наименование подразделения Номер кабинета Адрес 1.Бухгалтерия , г. Омск, ул. Омская, д.1, этаж 1 2.Отдел кадров , г. Омск, ул. Омская, д.1, этаж 2 3.Отдел по работе с клиентами , г. Омск, ул. Омская, д.1, этаж 2 ………… Список утверждается Руководителем, можно сделать как приложение к Положению об обработке ПДн.
58 13.Список лиц, имеющих право доступа в помещения, где ведется обработка ПДн п/п ФИОДолжность кабинета Адрес 1. Сидоров Сидор Сидорович Главный бухгалтер , г. Омск, ул. Омская, д.1, этаж 1 2. Кадров Анатолий Анатолиевич Начальник отдела кадров , г. Омск, ул. Омская, д.1, этаж 2 3. Подкадров Василий Васильевич Сотрудник отдела кадров , г. Омск, ул. Омская, д.1, этаж 2 4. Клиентов Андрей Андреевич Начальник отдела по работе с клиентами , г. Омск, ул. Омская, д.1, этаж 2 Присутствие иных лиц допустимо при условии нахождения в кабинете сотрудников, имеющих право доступа в данное помещение. Список утверждается Руководителем, можно сделать как приложение к Положению об обработке ПДн.
59 14. Список постоянных пользователей ИСПДн п/п ФИОДолжностьВыполняемые функции Группа, идентификатор Зав. (инв.) ПЭВМ 1 Сидоров Сергей Сергеевич Главный бухгалтер Пользователь Пользователи, User Петров Петр Петрович БухгалтерПользователь Пользователи, User Админский Андрей Анатольевич Системный администратор Администратор ИБ Администратор, Admin , Расположение объекта: Индекс, город, Улица, Дом, корпус, этаж. Таблица 1 - Список постоянных пользователей ИСПДн Бухгалтерия 7.7 Разрабатывает и подписывает: Администратор безопасности ИСПДн Утверждает: Руководитель организации Ограничительный гриф: Конфиденциально
60 15.Перечень защищаемых информационных ресурсов в ИСПДн п/п Наименование информационного ресурса Категория ресурсаРазмещение ресурса 1. База данных 1СКонфиденциально – персональные данные D:\Bases\ 2. Каталоги программного обеспеченияНеконфиденциальноC:\Program Files 3. Средства ОС, необходимые для запуска и работы ПЭВМ НеконфиденциальноC:\Windows 4. Основные конфигурационные файлы ОС и драйверы СЗИ от НСД НеконфиденциальноC:\Windows 5. Средства настройки и управления СЗИ от НСД НеконфиденциальноC:\Program Files\Infosec\SecretNet\Clien\ 6.Антивирусные средстваНеконфиденциальноC:\Program Files\Drweb\ 7. Средство межсетевого экранирования НеконфиденциальноC:\Program Files\InfoTeCS\ViPNet Personal Firewall 8. Система анализа защищенности и выявления уязвимостей НеконфиденциальноC:\Program Files\CBI Service\RevizorSeti2\Bin\ 9.9. Личный каталог пользователя (в т.ч. Рабочий стол) Конфиденциально- персональные данные C:\Documents and Settings\User Средства разработки документовНеконфиденциальноC:\Program Files\Microsoft Office Средства обработки персональных данных НеконфиденциальноС:\Program Files\1с81 Месторасположения объекта: , г. Омск, ул. Омская, д.1, второй этаж. Файлы с конфиденциальной информацией и неконфиденциальная информация на несъемном жестком магнитном диске «Seagate» ? в составе сист. блока
61 15.Перечень защищаемых информационных ресурсов в ИСПДн Документы на CD/DVD -R - дисках - гриф «Конфиденциально- персональные данные». Документы на ГМД гриф «Конфиденциально-персональные данные». Неконфиденциальные документы на USB-устройствах. Разрабатывает и подписывает: Администратор безопасности ИСПДн Утверждает: Руководитель организации Ограничительный гриф: Конфиденциально
62 16.Разрешительная система доступа пользователей к защищаемым инф. ресурсам ИСПДн Назначение: определение полномочий пользователей на доступ к защищаемой информации, для реализации прав пользователей средствами СЗИ от НСД. Разрабатывает и подписывает: Администратор безопасности ИСПДн Утверждает: Руководитель организации Ограничительный гриф: Конфиденциально
63 п/п Наименование информационных ресурсов, используемых в ПЭВМ Вид информации Место хранения ресурса Права по доступу к информации* Админский А.А. (Admin) Сидоров С.С. (User1) 1. База данных 1СКонфиденциально – персональные данные D:\Bases\RWDAXRWD 2. Каталоги программного обеспеченияНеконфиденциальноC:\Program FilesRWDAXRWX 3. Средства ОС, необходимые для запуска и работы ПЭВМ НеконфиденциальноC:\Windows RWDAXRWX 4. Основные конфигурационные файлы ОС и драйверы СЗИ от НСД НеконфиденциальноC:\Windows RWDAXRWX 5. Средства настройки и управления СЗИ от НСД Неконфиденциально C:\Program Files\Infosec\SecretNet\Clien\ RWDAXRWX 6.Антивирусные средстваНеконфиденциальноC:\Program Files\Drweb\ RWDAXRWX 7.Средство межсетевого экранированияНеконфиденциально C:\Program Files\InfoTeCS\ViPNet Personal Firewall RWDAXRWX 8. Система анализа защищенности и выявления уязвимостей Неконфиденциально C:\Program Files\CBI Service\RevizorSeti2\Bin\ RWDAXRWX 9.9. Личный каталог пользователя (в т.ч. Рабочий стол) Конфиденциально- персональные данные C:\Documents and Settings\User1 RWDAX Средства разработки документовНеконфиденциальноC:\Program Files\Microsoft Office RWDAXRWX Средства обработки персональных данных НеконфиденциальноС:\Program Files\1с81 RWDAXRWX Таблица 1 – Права доступа пользователей ИСПДн «1С Бухгалтерия 7.7» к защищаемым ресурсам ПЭВМ «RT» * R – чтение, W – запись, D – удаление, A – добавление объектов, X – исполнение, «-» - запрет на доступ к ресурсу, 16.Разрешительная система доступа пользователей к защищаемым инф. ресурсам ИСПДн
64 * «+» - доступ к устройству разрешен, «-»-доступ к устройству запрещен Наименование информационных ресурсов, используемых в ПЭВМ Наименование устройства/ порта ввода- вывода Права по доступу к информации* Примечание Админский А.А. (Admin) Сидоров С.С. (User1) FDDA:\++ Для записи (хранения) конфиденциальной информации должны использоваться только учтенные носители информации DVD-RWE:\++ Для записи (хранения) конфиденциальной информации должны использоваться только учтенные носители информации USB ++ Для записи (хранения) конфиденциальной информации должны использоваться только учтенные носители информации Сетевая карта Ethernet ++ Доступ пользователей к ресурсам сетевой карты необходим для обеспечения работы ИСПДн в составе локально-вычислительной сети и ПринтерUSB(LPT)++ Должна вестись регистрация печати конфиденциальных документов средствами СЗИ от НСД и в журнале учета изданных конфиденциальных документов Таблица 2 – Права доступа пользователей к устройствам и информационным портам ввода-вывода ИСПДн «1С Бухгалтерия 7.7» в составе системного блока «RT» Разрешительная система доступа пользователей к защищаемым инф. ресурсам ИСПДн
65 Таблица 3 – Список разрешенных к использованию портов в ИСПДн «1С Бухгалтерия 7.7» в составе системного блока «RT» * - в указанных направлениях разрешено инициировать соединение Политика настройки МСЭ: блокировать все, что явно не разрешено 16.Разрешительная система доступа пользователей к защищаемым инф. ресурсам ИСПДн IP источника Порт источника НаправлениеIP назначения Порт назначения ПротоколСлужбаОписание Настройки протокола TCP для приложений ВсеВходящее*Все20TCPftp dataПротокол ftp - данные ВсеИсходящее*Все21TCPftpПротокол ftp –команды ВсеИсходящее*Все25 TCP SMTPОтправка писем ВсеВходящее*Все80 TCP httpГипертекстовый протокол ВсеВходящее*Все110TCPPOP3Получение писем ВсеИсходящее*Все123TCPntpWindows Time Synchronization ВсеВходящее*Все135TCPDCOMMicrosoft RPC end point to point map ВсеВходящее*Все138TCPnetbiosNETBIOS Datagram Service ВсеВходящее*Все139TCPnetbiosNETBIOS Session Service ВсеВходящее*Все143TCPIMAPСлужебный протокол ВсеВходящее*Все445TCPMS_DSMicrosoft Directory Services ВсеВходящее*Все3268TCPGL_CATMicrosoft Global Catalog Настройки протокола UDP для приложений ВсеВходящее*Все135UDPDCOMMicrosoft RPC end point to point map ВсеВходящее*Все138UDPnetbiosNETBIOS Datagram Service ВсеВходящее*Все389UDPLDAPLightweight Directory Access Protocol ВсеВходящее*Все445UDPMS_DSMicrosoft Directory Services ВсеВходящее*Все55777UDPViPNetViPNet Monitor Настройки протокола ICMP для приложений ВсеЛюбоеВсе ICMPВсеInternet Control Message Protocol
66 17. Приказ о создании комиссии по определению УБПДн и классификации ИСПДн Состав комиссии (минимум 3 человека): Председатель комиссии: руководитель структурного подразделения, который отвечает за эксплуатацию соответствующей ИСПДн (напр. начальник отдела кадров, главный бухгалтер, начальник отдела по работе с клиентами). Члены комиссии: руководитель или сотрудник службы ИТ, ответственный за администрирование и сопровождение ИСПДн (напр. системный администратор), специалист по ИБ или иные лица участвующие в обработке ПДн. В случае необходимости, для различных ИСПДн может назначаться отдельная комиссия.
67 18. Модель угроз безопасности ПДн в ИСПДн Основание: пп."а" п.12 Положения, утв. ПП-781 Назначение: определяет перечень актуальных угроз в каждой ИСПДн, используется для формирования требований к СЗПДн (написания Технического задания) Форма документа: произвольная Кто разрабатывает: специалист по ИБ (компетентный) Утверждает: Руководитель организации
68 Моделирование угроз проводится в соответствии с: «Базовая модель угроз безопасности ПДн при их обработке в ИСПДн» (утв. приказом ФСТЭК РФ от г.). «Методика определения актуальных угроз безопасности ПДн при их обработке в ИСПДн» (утв. Зам. директора ФСТЭК РФ от г.). 18. Модель угроз безопасности ПДн в ИСПДн
69 Модель угроз содержит единые исходные данные по угрозам безопасности ПДн, обрабатываемых в ИСПДн, связанным: с перехватом (съемом) ПДн по техническим каналам с целью их копирования или неправомерного распространения; с несанкционированным, в том числе случайным, доступом в ИСПДн с целью изменения, копирования, неправомерного распространения ПДн или деструктивных воздействий на элементы ИСПДн и обрабатываемых в них ПДн с использованием программных и программно-аппаратных средств с целью уничтожения или блокирования ПДн. 18. Модель угроз безопасности ПДн в ИСПДн
70 При обработке ПДн в локальных ИСПДн, имеющих подключение к сетям связи общего пользования и (или) сетям международного информационного обмена, возможна реализация следующих УБПДн: угрозы утечки информации по техническим каналам; угрозы НСД к ПДн, обрабатываемым на автоматизированном рабочем месте. ТИПОВАЯ МОДЕЛЬ УГРОЗ безопасности ПДн в локальных ИСПДн
71 Угрозы утечки информации по техническим каналам: угрозы утечки акустической (речевой) информации; угрозы утечки видовой информации; угрозы утечки информации по каналу ПЭМИН. ТИПОВАЯ МОДЕЛЬ УГРОЗ безопасности ПДн в локальных ИСПДн
72 Угрозы НСД, связанные с действиями нарушителей, имеющих доступ к ИСПДн: угрозы, реализуемые в ходе загрузки ОС и направленные на перехват паролей или идентификаторов, модификацию базовой системы ввода/вывода (BIOS), перехват управления загрузкой; угрозы, реализуемые после загрузки ОС и направленные на выполнение НСД с применением стандартных функций (уничтожение, копирование, перемещение, форматирование носителей информации и т.п.) ОС или какой-либо прикладной программы (например, СУБД), с применением специально созданных для выполнения НСД программ; угрозы внедрения вредоносных программ. ТИПОВАЯ МОДЕЛЬ УГРОЗ безопасности ПДн в локальных ИСПДн
73 Угрозы из внешних сетей включают в себя: угрозы «Анализа сетевого трафика» с перехватом передаваемой во внешние сети и принимаемой из внешних сетей информации; угрозы сканирования, направленные на выявление типа операционной системы ИСПДн, сетевых адресов рабочих станций, открытых портов и служб, открытых соединений и др.; угрозы выявления паролей; угрозы получения НСД путем подмены доверенного объекта; угрозы типа «Отказ в обслуживании»; угрозы удаленного запуска приложений; угрозы внедрения по сети вредоносных программ. ТИПОВАЯ МОДЕЛЬ УГРОЗ безопасности ПДн в локальных ИСПДн
74 Оценка об актуальности той или иной угрозы производится на основании: коэффициента вероятности реализации угрозы; показателя опасности (ущерба). Для определения коэффициента вероятности реализации угрозы применяются два показателя: уровень исходной защищенности ИСПДн; возможность реализации рассматриваемой угрозы Определение актуальности угроз безопасности персональных данных
75 Уровень исходной защищенности (Y1) определяется на основании оценки: территориального размещения; наличия соединения с сетями общего пользования; наличия встроенных операций с записями баз персональных данных; разграничения доступа к персональным данным; наличия соединений с другими базами ПДн иных ИСПДн; уровня обобщения (обезличивания) ПДн; объема ПДн, которые предоставляются сторонним пользователям ИСПДн без предварительной обработки Уровень исходной защищенности ИСПДн(Y1)
76 Технические и эксплуатационные характеристики ИСПДн Уровень защищенности ВысокийСреднийНизкий 1. По территориальному размещению: - распределённая ИСПДн, которая охватывает несколько областей, краев, округов или государство в целом; + - городская ИСПДн, охватывающая не более одного населенного пункта (города, поселка); + - корпоративная распределенная ИСПДн, охватывающая многие подразделения одной организации; + - локальная (кампусная) ИСПДн, развернутая в пределах нескольких близко расположенных зданий; + - локальная ИСПДн, развернутая в пределах одного здания По наличию соединения с сетями общего пользования: - ИСПДн, имеющая многоточечный выход в сеть общего пользования; + - ИСПДн, имеющая одноточечный выход в сеть общего пользования; + - ИСПДн, физически отделенная от сети общего пользования По встроенным (легальным) операциям с записями баз персональных данных: - чтение, поиск; + - запись, удаление, сортировка; + - модификация, передача. +
77 Уровень исходной защищенности ИСПДн (Y1) Технические и эксплуатационные характеристики ИСПДн Уровень защищенности ВысокийСреднийНизкий 4. По разграничению доступа к персональным данным: - ИСПДн, к которой имеет доступ определенный перечень сотрудников организации, являющейся владельцем ИСПДн, либо субъект ПДн; + - ИСПДн, к которой имеют доступ все сотрудники организации, являющейся владельцем ИСПДн; + - ИСПДн с открытым доступом По наличию соединений с другими базами ПДн иных ИСПДн: - интегрированная ИСПДн (организация использует несколько баз ПДн ИСПДн, при этом организация не является владельцем всех используемых баз ПДн); + - ИСПДн, в которой используется одна база ПДн, принадлежащая организации- владельцу данной ИСПДн По уровню (обезличивания) ПДн: - ИСПДн в которой предоставляемые пользователю данные являются обезличенными (на уровне организации, отрасли, области, региона и т.д.); + - ИСПДн, в которой данные обезличиваются только при передаче в другие организации и не обезличены при предоставлении пользователю в организации; + - ИСПДн, в которой предоставляемые пользователю данные не являются обезличенными (т.е. присутствует информация, позволяющая идентифицировать субъекта ПДн) По объему ПДн, которые предоставляются сторонним пользователям ИСПДн без предварительной обработки: - ИСПДн, предоставляющая всю БД с ПДн; + - ИСПДн, предоставляющая часть ПДн; + - ИСПДн, не предоставляющие никакой информации. +
78 Уровень исходной защищенности ИСПДн (Y1) Уровень исходной защищенности ИСПДн ВысокийСреднийНизкийY1 = Высокий70%30%00 Средний70%30%5 Низкийиначе10 Уровень исходной защищенности ИСПДн определяется на основании технических и эксплуатационных характеристик (по 7 признакам) путем подсчета в % соотношении Высоких, Средних и Низких показателей защищенности ИСПДн. Пример: Высоких (3 из 7), Средних (2 из 7) и Низких (3 из 7) => Уровень исходной защищенности – Низкий, Y1=10.
79 Определение актуальных угроз безопасности Возможность реализации угрозы (Y2): маловероятно - отсутствуют объективные предпосылки для осуществления угрозы (Y2 = 0) низкая вероятность - объективные предпосылки для реализации угрозы существуют, но принятые меры существенно затрудняют ее реализацию (Y2 = 2) средняя вероятность - объективные предпосылки для реализации угрозы существуют, но принятые меры обеспечения безопасности ПДн недостаточны (Y2 = 5) высокая вероятность - объективные предпосылки для реализации угрозы существуют и меры по обеспечению безопасности ПДн не приняты (Y2 = 10) Определение возможности реализации каждой угрозы ПДн(Y2)
80 Вероятность реализации угрозы рассчитывается по следующей формуле: Y = (Y1 + Y2) / 20 По значению Y формируется интерпретация следующим образом: если 0
81 Степень опасности угрозы (ущерб): низкая опасность - если реализация угрозы может привести к незначительным негативным последствиям для субъектов персональных данных; средняя опасность - если реализация угрозы может привести к негативным последствиям для субъектов персональных данных; высокая опасность - если реализация угрозы может привести к значительным негативным последствиям для субъектов персональных данных. Определение степени опасности угрозы безопасности ПДн
82 Определение актуальности угроз безопасности персональных данных Вероятность реализации угрозы Y = (Y1+Y2) / 20 Показатель опасности угрозы (ущерб) НизкаяСредняяВысокая Низкая: 0 Y 0,3неактуальная актуальная Средняя: 0,3 < Y 0,6неактуальнаяактуальная Высокая: 0,6 < Y 0,8актуальная Очень высокая: Y > 0,8актуальная если реализация угрозы может привести к незначительным негативным последствиям для субъектов ПДн если реализация угрозы может привести к негативным последствиям для субъектов ПДн если реализация угрозы может привести к значительным негативным последствиям для субъектов ПДн
83 Пример Определения актуальности угроз безопасности персональных данных Сценарий реализации угрозы Исходная степень защищеннос ти ИСПДн Возможность реализации угрозы Показатель Опасности угрозы Вероятность реализации угрозы Актуальность угрозы Получение несанкционированного доступа к информации внешним нарушителем за счет воздействия на программное обеспечение (переполнение буфера и пр.) с запуском исполняемого вредоносного кода Нарушаемые свойства К, Ц, Д Объекты воздействия Информация, обрабатываемая на АРМ ИСПДнY1=10Средняя (Y2=5)Средний Высокая (Y=0,75) Актуальная Предпосылки реализации угрозы: - наличие взаимодействия с информационно-телекоммуникационными сетями международного информационного обмена (сетями связи общего пользования); - отсутствуют технические средства обнаружение вторжений в ИСПДн; - не обеспечивается межсетевое экранирование ИСПДн. Реализованные защитные меры: - Установлен порядок обеспечения антивирусной защиты (Инструкция, Политика и проч.); - Установлены средства антивирусной защиты; Вывод об актуальности угрозы для ИСПДн: В связи с недостаточностью принятых мер угроза «Получение несанкционированного доступа к информации внешним нарушителем за счет воздействия на программное обеспечение (переполнение буфера и пр.) с запуском исполняемого вредоносного кода» считается актуальной.
84 19.Акт классификации ИСПДн Основание для разработки: п.6 Положения, утвержденного ПП-781 п.4 Порядка классификации Назначение: определяется класс ИСПДн, структура ИСПДн и режим обработки ПДн Форма документа: приведена в СТР-К. Кто разрабатывает: комиссия по классификации, назначенная приказом руководства. Утверждает: руководитель организации Порядок классификации: утвержден приказом ФСТЭК России, ФСБ России, Миниинформсвязи РФ от г. 55/86/20 Классификация проводится для каждой ИСПДн
85 ИТОГ Классификации ИСПДн п/п Вид классификацииЗначение 1.Категория обрабатываемых ПДн (Х ПД )1-4 2.Объем обрабатываемых ПДн(Х НПД )1-3 3.Заданные характеристики безопасности ПДнСпециальная 4.Структура информационной системыАРМ / ЛВС / Распределенная 5.Подключение к сетям общего пользования и / или сетям международного информационного обмена Имеется /Не имеется 6.Режим обработки персональных данныхОднопользовательский/ Многопользовательский 7.Режим разграничения прав доступа пользователейС разграничением доступа /Без разграничения 8.Местонахождению технических средств информационные В пределах РФ/ Частично или целиком за пределами РФ
86 1. По характеру обрабатываемых (Xпд) персональных данных ИС подразделяются на следующие категории: категория 1 (Xпд = 1) – персональные данные, касающиеся расовой принадлежности, политических взглядов, религиозных философских убеждений, состояния здоровья; категория 2 (Xпд = 2) – персональные данные, позволяющие идентифицировать субъекта персональных данных и получить о нем дополнительную информацию, за исключением персональных данных, относящихся к категории 1; категория 3 (Xпд = 3) – персональные данные, позволяющие идентифицировать субъекта персональных данных; категория 4 (Xпд = 4) – обезличенные персональные данные. Классификация ИСПДн
87 2. По объему обрабатываемых (X нпд ) персональных данных ИС подразделяются на следующие категории: категория 1 (Xнпд = 1) – в ИС одновременно обрабатываются персональные данные о более субъектов или персональные данные субъектов в пределах субъекта РФ или РФ в целом; категория 2 (Xнпд = 2) – в ИС одновременно обрабатываются персональные данные от 1000 до субъектов или персональные данные субъектов, работающих в отрасли экономики РФ, в органе государственной власти, проживающих в пределах муниципального образования; категория 3 (Xнпд = 3) – в ИС одновременно обрабатываются персональные данные менее чем 1000 субъектов или персональные данные субъектов в пределах конкретной организации. Классификация ИСПДн
88 Объём данных ( X нпд) Категория данных ( X пд) Категория 3 ( субъектов) Категория 4 (обезличенные ПДн) К4 Категория 3 (ПДн позволяющие идентиф. субъекта) К3 К2 Категория 2 (ПДн позволяющие идентиф.субъекта и получить о нем доп. информацию) К3К2К1 Категория 1 (ПДн о состоянии здоровья, философских и религ убеждениях) К1 Классификация ИСПДн
89 3. По заданным оператором характеристикам безопасности ИСПДн подразделяются на: Типовые информационные системы - ИС, в которых требуется обеспечение только конфиденциальности персональных данных. Специальные информационные системы - ИС, в которых вне зависимости от необходимости обеспечения конфиденциальности требуется обеспечить хотя бы одну из характеристик безопасности персональных данных, отличную от конфиденциальности (целостность, доступность). Абсолютно Все ИСПДн - СПЕЦИАЛЬНЫЕ!!! Классификация ИСПДн
90 Конфиденциальность - состояние информации, при котором доступ к ней осуществляют только субъекты, имеющие право на доступ. Целостность - состояние информации, при котором отсутствует любое ее изменение, либо изменение осуществляется только преднамеренно субъектами, имеющими на него право. Доступность - состояние информации, при котором субъекты, имеющие права доступа к информации могут их беспрепятственно реализовывать. Класс СПЕЦИАЛЬНОЙ ИСПДн определяется на основе модели угроз безопасности персональных данных в соответствии с методическими документами (п.16 Порядка классификации) Классификация ИСПДн
91 Также к СПЕЦИАЛЬНЫМ информационным системам должны быть отнесены: информационные системы, в которых обрабатываются персональные данные, касающиеся состояния здоровья субъектов персональных данных (п. порядка проведения классификации ИСПДн»); информационные системы, в которых предусмотрено принятие на основании исключительно автоматизированной обработки персональных данных решений, порождающих юридические последствия в отношении субъекта персональных данных или иным образом затрагивающих его права и законные интересы (п.8 порядка проведения классификации ИСПДн). Классификация ИСПДн
92 4. По структуре ИСПДн подразделяются на: автономные (не подключенные к иным информационным системам) комплексы технических и программных средств, предназначенные для обработки персональных данных (АРМ); локальные ИС - комплексы АРМ, объединенных в единую ИС средствами связи без использования технологии удаленного доступа (вся обработка ПДн происходит в рамках одной ЛВС); распределенные ИС - комплексы АРМ и (или) локальных ИС, объединенных в единую ИС средствами связи с использованием технологии удаленного доступа (т.е. элементы ИСПДн разнесены территориально). Классификация ИСПДн
93 5. По наличию подключений к сетям связи общего пользования (Интернет) информационный системы подразделяются на: с подключением к сетям связи общего пользования – т.е. если ИСПДн или ее элементы имеют подключение к Интернету вне зависимости обусловлено ли это служебной необходимостью или нет, то ИСПДн имеет подключение. без подключения к сетям связи общего пользования Классификация ИСПДн
94 6. По режиму обработки персональных данных в информационные системы подразделяются на: однопользовательский - если сотрудник обрабатывающий ПДн совмещает в себе функции администратора и пользователя; многопользовательский Классификация ИСПДн
95 7. По разграничению прав доступа пользователей информационные системы подразделяются на: системы без разграничения прав доступа - если в системе все пользователи (администраторы, операторы, разработчики) обладают одинаковым набором прав доступа или осуществляют вход под единой учетной записью, a вход под другими учетными записями не осуществляется; системы с разграничением прав доступа. Классификация ИСПДн
96 8. По местонахождению технических средств информационные системы подразделяются на: системы, все технические средства которых находятся в пределах РФ; системы, технические средства которых частично или целиком находятся за пределами РФ. Классификация ИСПДн
97 ИТОГ Классификации ИСПДн п/п Вид классификацииЗначение 1.Категория обрабатываемых ПДн (Х ПД )1-4 2.Объем обрабатываемых ПДн(Х НПД )1-3 3.Заданные характеристики безопасности ПДнСпециальная 4.Структура информационной системыАРМ / ЛВС / Распределенная 5.Подключение к сетям общего пользования и / или сетям международного информационного обмена Имеется /Не имеется 6.Режим обработки персональных данныхОднопользовательский/ Многопользовательский 7.Режим разграничения прав доступа пользователейС разграничением доступа /Без разграничения 8.Местонахождению технических средств информационные В пределах РФ/ Частично или целиком за пределами РФ
98 Согласно Приказу ФСТЭК России от «Об утверждении положения о методах и способах защиты информации в ИСПДн» для типовой ИСПДн в зависимости от: класса ИСПДн; режима обработки ПДн в ИСПДн; режима разграничения прав доступа; наличия/отсутствия подключения к сетям общего пользования (СОП); установлены определенные Требования к защите ПДн. В качестве примера возьмем Требования из Приказа 58 к ИСПДн: класса К3; при многопользовательском режиме обработки ПДн; разных правах доступа; с подключением ИСПДн к СОП. Определение требований к СЗПДн
99 Выделяют следующие подсистемы СЗПДн: 1.Подсистема управления доступом. 2.Подсистема регистрации и учета. 3.Подсистема обеспечения целостности. 4.Подсистема межсетевого экранирования*. 5.Подсистема анализа защищенности и выявления уязвимостей**. 6.Подсистема обнаружения вторжений***. * - в случае если ИСПДн входит в состав ЛВС или имеет подключение к Интернету. ** - в случае если ИСПДн распределенная или имеет подключение к Интернету. *** - в случае если ИСПДн имеет подключение к Интернету. Определение требований к СЗПДн
100 Требования к ИСПДн класса К3 при многопользовательском режиме обработки ПДн и разных правах доступа с подключением ИСПДн к ССОП 1. Подсистема управление доступом: - идентификация и проверка подлинности пользователя при входе в систему по паролю условно-постоянного действия длинной не мене шести буквенно-цифровых символов; 2. Подсистема регистрации и учета: - регистрация входа (выхода) пользователя в систему (из системы) либо регистрация загрузки и инициализации операционной системы и ее программного останова. Регистрация выхода из системы или останова не проводится в моменты аппаратурного отключения информационной системы. В параметрах регистрации указываются дата и время входа (выхода) пользователя в систему (из системы) или загрузки (останова) системы, результат попытки входа (успешная или неуспешная), идентификатор (код или фамилия) пользователя, предъявленный при попытке доступа; - учет всех защищаемых носителей информации с помощью их маркировки и занесение учетных данных в журнал учета с отметкой об их выдаче (приеме)
101 Требования к ИСПДн класса К3 при многопользовательском режиме обработки ПДн и разных правах доступа с подключением ИСПДн к ССОП 3. Подсистема обеспечение целостности: - обеспечение целостности программных средств системы защиты персональных данных, обрабатываемой информации, а также неизменность программной среды. При этом целостность программных средств проверяется при загрузке системы по контрольным суммам компонентов средств защиты информации, а целостность программной среды обеспечивается использованием трансляторов с языков высокого уровня и отсутствием средств модификации объектного кода программ в процессе обработки и (или) хранения защищаемой информации; - физическая охрана информационной системы (устройств и носителей информации), предусматривающая контроль доступа в помещения информационной системы посторонних лиц, наличие надежных препятствий для несанкционированного проникновения в помещения информационной системы и хранилище носителей информации; - периодическое тестирование функций системы защиты персональных данных при изменении программной среды и пользователей информационной системы с помощью тест-программ, имитирующих попытки несанкционированного доступа; - наличие средств восстановления системы защиты персональных данных, предусматривающих ведение двух копий программных компонент средств защиты информации, их периодическое обновление и контроль работоспособности.
102 Требования к ИСПДн класса К3 при многопользовательском режиме обработки ПДн и разных правах доступа с подключением ИСПДн к ССОП 4. Подсистема межсетевого экранирования должна обеспечивать: - фильтрацию на сетевом уровне для каждого сетевого пакета независимо (решение о фильтрации принимается на основе сетевых адресов отправителя и получателя или на основе других эквивалентных атрибутов); - идентификацию и аутентификацию администратора межсетевого экрана при его локальных запросах на доступ по идентификатору (коду) и паролю условно-постоянного действия; - регистрацию входа (выхода) администратора межсетевого экрана в систему (из системы) либо загрузки и инициализации системы и ее программного останова (регистрация выхода из системы не проводится в моменты аппаратурного отключения межсетевого экрана); - контроль целостности своей программной и информационной части; фильтрацию пакетов служебных протоколов, служащих для диагностики и управления работой сетевых устройств; - восстановление свойств межсетевого экрана после сбоев и отказов оборудования; - регламентное тестирование реализации правил фильтрации, процесса идентификации и аутентификации администратора межсетевого экрана, процесса регистрации действий администратора межсетевого экрана, процесса контроля за целостностью программной и информационной части, процедуры восстановления.
103 Требования к ИСПДн класса К3 при многопользовательском режиме обработки ПДн и разных правах доступа с подключением ИСПДн к ССОП 5. Подсистема анализа защищенности: Анализ защищенности проводится для распределенных информационных систем и информационных систем, подключенных к сетям международного информационного обмена, путем использования в составе информационной системы программных или программно-аппаратных средств (систем) анализа защищенности. Средства (системы) анализа защищенности должны обеспечивать возможность выявления уязвимостей, связанных с ошибками в конфигурации программного обеспечения информационной системы, которые могут быть использованы нарушителем для реализации атаки на систему 6. Подсистема обнаружения вторжений Обнаружение вторжений проводится для информационных систем, подключенных к сетям международного информационного обмена, путем использования в составе информационной системы программных или программно-аппаратных средств (систем) обнаружения вторжений.
104 Распределение ответственности 1. Администратор безопасности ИСПДн: приказ о назначении администратора безопасности ИСПДн, инструкция администратору безопасности. 2. Ответственный за эксплуатацию ИСПДн: приказ о назначении ответственного за эксплуатацию ИСПДн, инструкция ответственному за эксплуатацию. 3. Пользователь ИСПДн – список постоянных пользователей ИСПДн, инструкция пользователю. 4. Ответственный за обработку ПДн в Организации – приказ о назначении ответственного, инструкция ответственному за обработку.
105 Лица, ответственные за обработку ПДн в Организации (ст ФЗ-152) 1.Оператор, являющийся юридическим лицом, назначает лицо, ответственное за организацию обработки ПДн. 2. Лицо, ответственное за организацию обработки ПДн, получает указания непосредственно от исполнительного органа организации, являющейся оператором, и подотчетно ему. 3. Оператор обязан предоставлять лицу, ответственному за организацию обработки персональных данных, сведения, указанные в части 3 статьи 22 настоящего Федерального закона т.е. сведения, необходимые и достаточные для заполнения Уведомления об обработке ПДн.
106 Лица, ответственные за обработку ПДн в Организации (ст ФЗ-152) Лицо, ответственное за организацию обработки ПДн обязано: 1) осуществлять внутренний контроль за соблюдением оператором и его работниками законодательства РФ о персональных данных, в т.ч. требований к защите ПДн; 2) доводить до сведения работников оператора положения законодательства РФ о персональных данных, локальных актов по вопросам обработки ПДн, требований к защите ПДн; 3) организовывать прием и обработку обращений и запросов субъектов ПДн или их представителей и (или) осуществлять контроль за приемом и обработкой таких обращений и запросов.
107 27. Инструкция по организации антивирусной защиты Настоящая Инструкция предназначена для пользователей и администраторов ИБ ИСПДн «1С Бухгалтерия». В целях обеспечения антивирусной защиты на всех ПЭВМ, входящих в состав ИСПДн вводится антивирусный контроль, ответственность за поддержание установленного порядка проведения антивирусного контроля возлагается на Администратора информационной безопасности ИСПДн. К применению допускается только лицензионное и сертифицированное по требованиям безопасности информации антивирусное средство «Антивирус Dr.Web версия 5.0». На ПЭВМ запрещается установка ПО, не связанного с выполнением функций, предусмотренных технологическим процессом обработки информации. Пользователям запрещается отключать (выгружать) антивирусное средство. Ярлык для запуска антивирусного сканера должен быть вынесен на «Рабочий стол» операционной системы. Пользователи ПЭВМ при работе с носителями информации обязаны перед началом работы осуществить их проверку на предмет отсутствия компьютерных вирусов. Администратор информационной безопасности осуществляет периодическое обновление антивирусных баз не реже 1 раза в месяц. Пользователи ИСПДн проводит не реже 1 раза в месяц проводят тестирование всего установленного на ПЭВМ программного обеспечения на предмет отсутствия компьютерных вирусов. При обнаружении компьютерного вируса пользователь обязан немедленно поставить в известность Администратора информационной безопасности и прекратить какие-либо действия на ПЭВМ. Администратор информационной безопасности в случае необходимости проводит лечение зараженных файлов путем выбора соответствующего пункта меню антивирусной программы и после этого вновь проводит антивирусный контроль. В случае обнаружения на носителе информации нового вируса, не подлежащего лечению, Администратор информационной безопасности обязан запретить использование этого носителя информации, в случае обнаружения на несъемном ЖМД не поддающегося лечению вируса, - поставить в известность начальника отдела ИТ, запретить работу на ПЭВМ и в возможно короткие сроки обновить пакет антивирусных программ.
108 28. Инструкция по организации парольной защиты Пользователь, осуществляющий вход в ИСПДн, должен быть распознан системой по предъявлению персонального идентификатора и пароля. Пароли на доступ в систему должны отвечать следующим требованиям: – длина пароля не менее шести буквенно-цифровых символов; – срок действия пароля не более трех месяцев. Запрещается: - хранить пароли на доступ в систему на бумажных или электронных носителях; - по истечении срока действия пароля использовать в качестве нового пароля модификацию старого (новый пароль должен отличаться от старого как минимум в четырех позициях). В случае если Пользователь забыл пароль, он обязан лично обратиться к Администратору ИСПДн для получения нового временного пароля. Пользователь обязан немедленно сменить временный пароль, предоставленный Администратором ИСПДн. В случае компрометации пароля необходимо немедленно сменить скомпрометированный пароль.
109 29. Инструкция по работе в сетях связи общего пользования Подключение к сетям связи общего пользования (далее – сеть Интернет) имеется только у тех сотрудников, которым для выполнения служебных обязанностей это необходимо. Пользователи, не имеющие доступ к сети Интернет, могут написать служебную записку на предоставление такого доступа на имя системного администратора, предварительно согласованную со своим руководителем. В служебной записке необходимо указать: – инвентарный номер ПЭВМ, который необходимо подключить к сети Интернет; – номер кабинета, в котором ПЭВМ функционирует; – ФИО постоянного Пользователя; – вид доступа (временный/постоянный); – цель подключения к сети Интернет. Запрещается передавать по сети Интернет персональные данные с нарушениями технологии обработки (технологического процесса обработки ПДн). При работе в сети Интернет запрещается: – осуществлять работу при отключенных средствах защиты (антивирус, межсетевой экран); – скачивать и запускать программное обеспечение и другие файлы, не относящихся к выполнению служебных обязанностей; – посещать социальные сети, а также сайты, содержащие нелегально распространяемое программное обеспечение. – нецелевое использование подключения к сети Интернет.
110 30. Регламент резервного копирования информации Настоящий регламент разработан в соответствии с требованиями подпункта «г» пункта 11 Положения об обеспечении безопасности персональных данных при их обработке в ИСПДн, утвержденного постановлением Правительства Российской Федерации от 17 ноября 2007 г. 781, с целью обеспечения возможности незамедлительного восстановления персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним. Регламент определяет правила и объемы резервирования, а также порядок восстановления работоспособности ИСПДн «1С Бухгалтерия» ООО «РиК». 2. Резервируемое общесистемное и специальное программное обеспечение, программное обеспечение средств защиты информации и базы персональных данных: 3. Порядок резервирования и хранения резервных копий (ответственный за резервирование, периодичность). 4. Порядок восстановления работоспособности ИСПДн.
111 31.Журнал учета машинных носителей информации (МНИ) п/п Дата, учетный (инвентар ный) номер. Метка конфиденциа льности. Тип МНИ Откуда поступил МНИ Расписка в получении МНИ (Ф.И.О., подпись, дата). Расписка ответстве нного за учет в обратном приеме (Ф.И.О., подпись, дата). Место хранения МНИ (номер хранилища. Отметка об уничтоже нии МНИ, (подписи, дата). Отметка об уничтожени и МНИ, стирании информаци и (номер и дата акта, подпись лица производив шего стирание информаци и, уничтожени е МНИ). Приме чание КFlash- накопите ль ООО «РиК»Иванов И.И. _____________ Сейф 5 22КCDООО «РиК»Иванов И.И. _____________ Сейф 5 33КдискетаООО «РиК»Иванов И.И. _____________ Сейф 5 Ведется Администратором безопасности ИСПДн Гриф: Конфиденциально
112 ПОРЯДОК ОБРАЩЕНИЯ СО СЪЕМНЫМИ НОСИТЕЛЯМИ ПДн Выдачу съемных носителей ПДн и принятие их обратно на хранение с внесением соответствующих записей в «Журнал учета машинных носителей ПДн» осуществляет Администратор безопасности ИСПДн. Съемные носители ПДн, использующиеся для временного или постоянного хранения ПДн, должны быть маркированы. Запрещается передача съемных носителей ПДн третьим лицам, без предварительного внесения соответствующей записи в журнал учета машинных носителей ПДн, в колонке «Примечание», информации о третьем лице, которому будет передан носитель ПДн. Запрещается переносить на съемные носители информацию, не связанную с выполнением должностных обязанностей. Запрещается записывать и хранить ПДн на неучтенных носителях информации. Не допускается бесконтрольно оставлять съемные носители ПДн или передавать на хранение другим лицам. О факте утраты съемных носителей ПДн необходимо немедленно сообщить Администратору безопасности ИСПДн. На утраченные носители ПДн составляется Акт. Соответствующие отметки вносятся в журнал учета машинных носителей ПДн. 32.Инструкция по эксплуатации машинных носителей ПДн
113 ПОРЯДОК УНИЧТОЖЕНИЯ НОСИТЕЛЕЙ ПДн Должна быть создана Комиссия по уничтожению как минимум из трёх человек. В состав комиссии должен входить Администратор безопасности ИСПДн, Ответственный за обработку ПДн той ИСПДн, чьи съемные носители ПДн подлежат уничтожению, третий член комиссии – на усмотрение руководителя Учреждения. Уничтожение съемных носителей ПДн необходимо производить механическими способами, исключающими возможность последующего восстановления информации с этих носителей. По результатам уничтожения пришедших в негодность съемных носителей ПДн составляется Акт об уничтожении съемных носителей ПДн. Акт об уничтожении съемных носителей ПДн хранится постоянно, в подразделении, в котором хранились уничтоженные съемные носители ПДн.
114 1. Обработка персональных данных, содержащихся в ИСПДн либо извлеченных из такой системы, считается осуществленной без использования средств автоматизации (неавтоматизированной), если такие действия с персональными данными, как использование, уточнение, распространение, уничтожение персональных данных в отношении каждого из субъектов персональных данных, осуществляются при непосредственном участии человека. 2. Обработка персональных данных не может быть признана осуществляемой с использованием средств автоматизации только на том основании, что персональные данные содержатся в ИСПДн либо были извлечены из нее. Требования к организации неавтоматизированной обработке ПДн установлены в ПП РФ N 687 от 15 сентября 2008 г. "Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации" Информационные системы, обрабатывающие данные Неавтоматизированная обработка ПДн
115 Организация хранения бумажных носителей ПДн Должен быть документально закреплен перечень помещений, где хранятся бумажные носители ПДн, перечень сотрудников имеющих доступ в эти помещения а также перечень сотрудников имеющих доступ к бумажным носителям ПДн. Доступ в места хранения документов, содержащие персональные данные должен быть ограничен: помещение должно запираться на ключ и сдаваться под охрану (или опечатывание), должно быть оснащено средствами пожарной и охранной сигнализации).
116 Список помещений, в которых разрешена обработка ПДн п/п Наименование подразделения Номер кабинета Адрес 1. Бухгалтерия , Россия, г. Омск, ул. Омская, д. 5, 1 этаж 2.Отдел кадров , Россия, г. Омск, ул. Омская, д. 5, 2 этаж Список утверждается Руководителем, можно сделать как приложение к Положению об обработке ПДн.
117 Список лиц, имеющих право доступа в помещения, где ведется обработка ПДн п/п ФИОДолжность Номер кабинета Адрес 1. Сидоров Сергей Сергеевич Главный бухгалтер , Россия, г. Омск, ул. Омская, д. 5, 1 этаж 2. Кадров Анатолий Анатолиевич Начальник отдела кадров , Россия, г. Омск, ул. Омская, д. 5, 2 этаж 3. Подкадров Василий Васильевич Специалист отдела кадров , Россия, г. Омск, ул. Омская, д. 5, 2 этаж Присутствие иных лиц допустимо при условии нахождения в кабинете сотрудников, имеющих право доступа в данное помещение. Список утверждается Руководителем, можно сделать как приложение к Положению об обработке ПДн.
118 Список лиц, имеющих право доступа к бумажным носителям ПДн п/п ФИОДолжность 1.Сидоров Сергей СергеевичГлавный бухгалтер 2.Кадров Анатолий АнатолиевичНачальник отдела кадров 3.Подкадров Василий ВасильевичСпециалист отдела кадров Список утверждается Руководителем, можно сделать как приложение к Положению об обработке ПДн.
119 Организация хранения бумажных носителей ПДн Документы, содержащие персональные данные, должны храниться отдельно от остальных документов в сейфах или шкафах запираемых на ключ. Нельзя хранить в одном месте персональные данные цели обработки которых различны. Например, в медучреждениях нельзя хранить в одном сейфе личные дела сотрудников и медицинские карты пациентов.
120 Организация хранения бумажных носителей ПДн
121 Сотрудники, работающие с документами, содержащими персональные данные должны быть ознакомлены с порядком обработки ПДн. Для этого разрабатывается «Инструкция по обработке персональных данных без использования средств автоматизации». Необходимо ознакомить с ней работников, имеющих право доступа к бумажным носителям ПДн под роспись.
122 Правила обращения с бумажными носителями персональных данных ПДн могут содержаться только в документах, типовые формы которых предусмотрены для данного подразделения и в объеме, предусмотренном этими типовыми формами. Не допускается бесконтрольно оставлять бумажные носители ПДн или передавать их на хранение другим лицам. Бумажные носители ПДн по завершении работы с ними должны быть помещены на прежнее место. Инструкция по обработке ПДн без использования средств автоматизации
123 Меры по обеспечению конфиденциальности персональных данных Лица, не включенные в список лиц, имеющих право доступа в кабинеты, не должны оставаться одни в помещении. О факте утраты носителей информации, удостоверений, пропусков, ключей от помещений, хранилищ, сейфов (металлических шкафов), личных печатей и о других фактах, которые могут привести к разглашению ПДн, немедленно сообщить Ответственному за обработку и обеспечение безопасности ПДн в Организации. Инструкция по обработке ПДн без использования средств автоматизации
124 Требования к оформлению бумажных носителей, предполагающих или допускающих содержание ПДн ПДн, хранящиеся на материальном носителе, должны обособляться от иной информации, в частности путем фиксации их на отдельных материальных носителях ПДн, в специальных разделах или на полях форм (бланков). При использовании типовых форм документов, характер информации в которых предполагает или допускает включение в них ПДн (далее – типовая форма), должны соблюдаться след. условия: типовая форма или связанные с ней документы (инструкция по ее заполнению, карточки, реестры и журналы) должны содержать сведения о цели обработки ПДн, осуществляемой без использования средств автоматизации, наименование и адрес Оператора, фамилию, имя, отчество и адрес субъекта ПДн, источник получения ПДн, сроки обработки ПДн, перечень действий с ПДн, которые будут совершаться в процессе их обработки; типовая форма должна предусматривать поле, в котором субъект ПДн может поставить отметку о своем согласии на обработку ПДн, осуществляемую без использования средств автоматизации, – при необходимости получения письменного согласия на обработку ПДн; типовая форма должна быть составлена таким образом, чтобы каждый из субъектов ПДн, содержащихся в документе, имел возможность ознакомиться со своими ПДн, содержащимися в документе, не нарушая прав и законных интересов иных субъектов ПДн; типовая форма не должны содержать ПДн, цели обработки которых заведомо не совместимы; в типовых формах не должно быть полей, которые предполагают наличие в них ПДн, но никогда не заполняются. Инструкция по обработке ПДн без использования средств автоматизации
125 Правила хранения бумажных носителей ПДн: Хранение бумажных носителей ПДн допускается исключительно в контейнерах бумажных носителей (папки, подшивки), способами, позволяющими в кратчайший срок определить места хранения требующихся ПДн. Правила внесения уточнений в ПДн, содержащихся на бумажных носителях: Внесение уточнений в ПДн, содержащихся на бумажных носителях ПДн, производится посредством вычеркивания или вымарывания ПДн с применением пасты-штрих с последующей росписью субъекта этих ПДн. Если внесение уточнений не позволяют технические особенности бумажного носителя ПДн, то этот носитель передается субъекту ПДн, а вместо него изготавливается новый бумажный носитель с уточненными ПДн. Защита ПДн от утечки по видовым каналам: При возникновении угрозы просмотра ПДн посторонними лицами, необходимо прекратить обработку ПДн, а бумажные носители разместить таким образом, чтобы был исключен просмотр с них информации. В помещениях, в которых допустимо постоянное пребывание посторонних лиц, необходимо контролировать, чтобы такие лица находились за огораживающими стойками, отделяющими посторонних лиц от сотрудников, обрабатывающих ПДн.
126 IV. Проектирование и реализация системы защиты персональных данных Разработка технического проекта СЗПДн Разработка мероприятий по защите информации в соответствии с предъявляемыми требованиями Внедрение средств защиты информации Реализация разрешительной системы доступа пользователей к обрабатываемой в ИСПДн информации (настройка средств защиты информации)
127 Реализация требований к СЗПДн п/п Требование по Приказу 58 к ИСПДн класса К3 при многопользовательском режиме обработки персональных данных и разных правах доступа Средства, обеспечивающие выполнение требований 1.ПОДСИСТЕМА УПРАВЛЕНИЯ ДОСТУПОМ 1.1. Идентификация и проверка подлинности пользователя при входе в систему по паролю условно-постоянного действия длиной не менее шести буквенно-цифровых символов Механизмы идентификации и аутентификации: - ОС - СЗИ от НСД 2. ПОДСИСТЕМА РЕГИСТРАЦИИ И УЧЕТА 2.1 Регистрация входа (выхода) пользователя в систему (из системы) либо регистрация загрузки и инициализации операционной системы и ее программного останова. Регистрация выхода из системы или останова не проводится в моменты аппаратурного отключения информационной системы. В параметрах регистрации указываются: дата и время входа (выхода) пользователя в систему (из системы) или загрузки (останова) системы, результат попытки входа (успешная или неуспешная), идентификатор (код или фамилия) пользователя, предъявленный при попытке доступа; Механизмы аудита безопасности: - ОС - СЗИ от НСД 2.2. Учет всех защищаемых носителей информации с помощью их маркировки и занесение учетных данных в журнал учета с отметкой об их выдаче (приеме) Реализуется с помощью организационно- распорядительных мероприятий. Как правило ведется «Журнал учета машинных носителей»), в котором регистрируются все машинные носители информации ИСПДн, а также их выдача.
128 Реализация требований к СЗПДн п/п Требование по Приказу 58 к ИСПДн класса К3 при многопользовательском режиме обработки персональных данных и разных правах доступа Средства, обеспечивающие выполнение требований 3.ПОДСИСТЕМА ОБЕСПЕЧЕНИЯ ЦЕЛОСТНОСТИ 3.2. Обеспечение целостности программных средств системы защиты персональных данных, обрабатываемой информации, а также неизменность программной среды. При этом целостность программных средств проверяется при загрузке системы по контрольным суммам компонентов средств защиты информации, а целостность программной среды обеспечивается использованием трансляторов с языков высокого уровня и отсутствием средств модификации объектного кода программ в процессе обработки и (или) хранения защищаемой информации Механизм контроля целостности в СЗИ от НСД. Отсутствие на ПЭВМ средств разработки исполняемых модулей программного обеспечения. Контроль целостности основных конфигурационных файлов ОС обеспечивается механизмом контроля целостности СЗИ от НСД Физическая охрана информационной системы (устройств и носителей информации), предусматривающая контроль доступа в помещения информационной системы посторонних лиц, наличие надежных препятствий для несанкционированного проникновения в помещения информационной системы и хранилище носителей информации; Реализуется с помощью организационно- распорядительных мероприятий Периодическое тестирование функций системы защиты персональных данных при изменении программной среды и пользователей информационной системы с помощью тест- программ, имитирующих попытки несанкционированного доступа; Механизмы тестирования СЗИ от НСД, специальные программы тестирования (Ревизор 2) 3.5.наличие средств восстановления системы защиты персональных данных, предусматривающих ведение двух копий программных компонент средств защиты информации, их периодическое обновление и контроль работоспособности Применение средства резервного копирования и аварийного восстановления информации, напр. Acronis Backup & Recovery 10 Advanced Workstation
129 Реализация требований к СЗПДн п/п Требование по Приказу 58 к ИСПДн класса К3 при многопользовательском режиме обработки персональных данных и разных правах доступа Средства, обеспечивающие выполнение требований 4. ПОДСИСТЕМА МЕЖСЕТЕВОГО ЭКРАНИРОВАНИЯ 4.1 Фильтрация на сетевом уровне для каждого сетевого пакета независимо (решение о фильтрации принимается на основе сетевых адресов отправителя и получателя или на основе других эквивалентных атрибутов); Межсетевые экраны, сертифицированные ФСТЭК/ФСБ России по 4 классу защищенности согласно РД Гостехкомиссии «Средства вычислительной техники. Межсетевые экраны. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации. 4.2 Идентификация и аутентификация администратора межсетевого экрана при его локальных запросах на доступ по идентификатору (коду) и паролю условно- постоянного действия 4.3 Регистрация входа (выхода) администратора межсетевого экрана в систему (из системы) либо загрузки и инициализации системы и ее программного останова (регистрация выхода из системы не проводится в моменты аппаратурного отключения межсетевого экрана); 4.4Контроль целостности своей программной и информационной части 4.5 Фильтрация пакетов служебных протоколов, служащих для диагностики и управления работой сетевых устройств 4.6Восстановление свойств межсетевого экрана после сбоев и отказов оборудования 4.7Регламентное тестирование реализации правил фильтрации, процесса идентификации и аутентификации администратора межсетевого экрана, процесса регистрации действий администратора межсетевого экрана, процесса контроля за целостностью программной и информационной части, процедуры восстановления
130 Реализация требований к СЗПДн п/п Требование по Приказу 58 к ИСПДн класса К3 при многопользовательском режиме обработки персональных данных и разных правах доступа Средства, обеспечивающие выполнение требований 5.ПОДИСИСТЕМА АНАЛИЗА ЗАЩИЩЕННОСТИ 5.1 Анализ защищенности проводится для распределенных информационных систем и информационных систем, подключенных к сетям международного информационного обмена, путем использования в составе информационной системы программных или программно-аппаратных средств (систем) анализа защищенности. Применение сертифицированных ФСТЭК РФ средств анализа защищенности 5.2 Средства (системы) анализа защищенности должны обеспечивать возможность выявления уязвимостей, связанных с ошибками в конфигурации программного обеспечения информационной системы, которые могут быть использованы нарушителем для реализации атаки на систему 6.ПОДСИСТЕМА ОБНАРУЖЕНИЯ ВТОРЖЕНИЙ 6.1Обнаружение вторжений проводится для информационных систем, подключенных к сетям международного информационного обмена, путем использования в составе информационной системы программных или программно-аппаратных средств (систем) обнаружения вторжений. Применение сертифицированных ФСТЭК РФ средств обнаружения вторжений (IDS). Некоторые МСЭ имеют встроенные IDS (напр. VipNet Personal Firewall).
131 V. Средства защиты ПДн Выделяют следующие средства защиты ИСПДн: 1. Средства антивирусной защиты информации; 2. Средства межсетевого экранирования; 3. Средства защиты информации от НСД; 4. Средства анализа защищённости и выявления уязвимостей; 5. Системы обнаружения вторжений (IDS); 6. Средства криптографической защиты информации (СКЗИ). Все средства защиты ПДн должны иметь сертификат соответствия ФСТЭК/ФСБ РФ требованиям по безопасности информации. Реестр сертифицированных средств защиты информации находится на официальном сайте ФСТЭК по адресу:
132 Обоснование необходимости применения сертифицированных СЗИ п.3 часть 2 ФЗ-152 «О персональных данных» от 27 июля 2006 г. Обеспечение безопасности персональных данных достигается применением прошедших в установленном порядке процедуру оценки соответствия средств защиты информации. п. 5 Постановления Правительства РФ 781 от 17 ноября 2007 г. «Об утверждении Положения об обеспечении безопасности ПДн…» Средства защиты информации, применяемые в информационных системах, в установленном порядке проходят процедуру оценки соответствия. п. 6 Постановления Правительства РФ 330 от 15 мая 2010 г. (ДСП) «Об особенностях оценки соответствия…») Оценка соответствия осуществляется в формах обязательной сертификации и государственного контроля (надзора). п Специальных требований и рекомендации по технической защите конфиденциальной информации (СТР-К) от (ДСП) Для защиты конфиденциальной информации используются сертифицированные по требованиям безопасности информации технические средства защиты информации.
133 Когда применять СКЗИ? в случае если ИСПДн – территориально распределенная т.е. при передаче ПДн через незащищенные каналы связи между удаленными филиалами и головным офисом. решение о необходимости защиты ПДн в ИСПДн с использованием СКЗИ принимается оператором в случае если существуют угрозы от потенциального нарушителя, а безопасность хранения и обработки не может быть гарантированно обеспечена другими СЗИ.
134 Порядок применения СКЗИ При разработке и реализации мероприятий по организации и обеспечению безопасности персональных данных с использованием СКЗИ оператор должен осуществлять: установку и ввод в эксплуатацию СКЗИ в соответствии с эксплуатационной и технической документацией на эти средства; проверку готовности СКЗИ к использованию с составлением заключений о возможности их эксплуатации; обучение лиц, использующих СКЗИ, работе с ними; поэкземплярный учет используемых СКЗИ, эксплуатационной и технической документации к ним; учет лиц, допущенных к работе с криптосредствами, предназначенными для обеспечения безопасности ПДн в ИСПДн (пользователей криптосредств); контроль над соблюдением условий использования криптосредств, предусмотренных эксплуатационной и технической документацией к ним; разбирательство и составление заключений по фактам нарушения условий хранения и использования криптосредств, которые могут привести к нарушению конфиденциальности ПДн или другим нарушениям, приводящим к снижению уровня защищенности ПДн; разработку и принятие мер по предотвращению возможных опасных последствий подобных нарушений.
135 Нормативные документы ФСБ по организации криптографической защиты информации в ИСПДн Приказ ФСБ России от 9 февраля 2005 г. 66 «Об утверждении Положения о разработке, производстве, реализации и эксплуатации шифровальных (криптографических) средств защиты информации». (Положение ПКЗ-2005) Типовые требования по организации и обеспечению функционирования шифровальных (криптографических) средств, предназначенных для защиты информации, не содержащей сведений, составляющих государственную тайну, в случае их использования для обеспечения безопасности ПДн при их обработке в ИСПДн 149/6/6-622, утв г. Методические рекомендации по обеспечению с помощью криптосредств безопасности ПДн при их обработке в ИСПДн с использованием средств автоматизации. 149/54-144, утв г.
136 Методические рекомендации ФСБ 7 типов нарушителей (от H1 до H6), обладающими разными возможностями на получение НСД к защищаемой информации (персональным данным); для нейтрализации возможностей нарушителя используются используется определенный класс СКЗИ (КС1,КС2,КС3,КВ1,КВ2,КА1). Для каждой распределенной ИСПДн необходимо: оценить возможности потенциального нарушителя, определить его тип согласно «Методическим рекомендациям»; перекрыть возможности потенциального нарушителя, используя в составе системы защиты СКЗИ определенного класса.
137 Методические рекомендации ФСБ Уровни криптографической защиты персональных данных, не содержащих сведений, составляющих государственную тайну (классы криптосредств) КС1КС2КС3КВ1КВ2КА1 Встраивание криптосредств осуществляетсябез контролятолько под контролем ФСБ РФ Тип нарушителя (Hi) Н1Н2Н3Н4Н5Н6 Нарушители типа Н1 могут использовать штатные средства только в том случае, если они расположены за пределами контролируемой зоны. Нарушители типа Н1 и Н2 располагают только доступными в свободной продаже аппаратными компонентами криптосредства и СФК. Возможности нарушителей типа Н2-Н6 по использованию штатных средств зависят от реализованных в информационной системе организационных мер Дополнительные возможности нарушителей типа Н3-Н5 по получению аппаратных компонент криптосредства и СФК зависят от реализованных в информационной системе организационных мер. Нарушителям типа Н3 - Н6 могут быть известны все сети связи, работающие на едином ключе. Возможен сговор нарушителей Нарушители типа Н4-Н6 могут проводить лабораторные исследования криптосредств, используемых за пределами контролируемой зоны информационной системы. Нарушители типа Н5 - Н6 располагают наряду с доступными в свободной продаже документацией на криптосредство и СФК исходными текстами прикладного программного обеспечения. Нарушители типа Н5 и Н6 могут ставить работы по созданию способов и средств атак в научно- исследовательских центрах, специализирующихся в области разработки и анализа криптосредств и СФК. Нарушители типа Н6 располагают любыми аппаратными компонентами криптосредства и СФК. Нарушители типа Н6 располагают всей документацией на криптосредство и СФК
138 Методические рекомендации ФСБ Встраивание СКЗИ класса КС1 и КС2 осуществляется без контроля со стороны ФСБ (если этот контроль не предусмотрен техническим заданием на разработку (модернизацию) информационной системы). Встраивание СКЗИ класса КС3, КВ1, КВ2 и КА1 осуществляется только под контролем со стороны ФСБ. Встраивание СКЗИ класса КС1, КС2 или КС3 может осуществляться либо самим пользователем криптосредства при наличии соответствующей лицензии ФСБ России, либо организацией, имеющей соответствующую лицензию ФСБ России. Встраивание криптосредства класса КВ1, КВ2 или КА1 осуществляется организацией, имеющей соответствующую лицензию ФСБ России.
139 Сертификация средств защиты информации Документ РД ФСТЭК, на основании которого проводится сертификация СЗИ К1К2К3 Что подлежит сертификации* Средства вычислительной техники (СВТ). Защита от несанкционированного доступа к информации (НСД). Показатели защищенности от НСД к информации. 555СЗИ от НСД Автоматизированные системы (АС). Защита от НСД к информации. Классификация АС и требования по защите информации. 1Г1Д АВ, МСЭ, СЗИ от НСД, СОВ Средства вычислительной техники. Межсетевые экраны (МСЭ). Защита от НСД к информации. Показатели защищенности от НСД к информации. 344МСЭ Защита от НСД к информации. Часть 1. Программное обеспечение СЗИ. Классификация по уровню контроля отсутствия недекларированных возможностей (НДВ). 4- (4) - (4) АВ, МСЭ, СЗИ от НСД, СОВ Технические условияЛюбое СЗИ РД «Безопасность информационных технологий. Критерии оценки безопасности информационных технологий» ОУД 3ОУД 1, ОУД2 Любое СЗИ *АВ – Антивирусные средства, МСЭ – межсетевые экраны, СЗИ от НСД – средства защиты от несанкционированного доступа, СОВ – системы обнаружения вторжений, СЗИ – средства защиты информации, ОУД – оценочный уровень доверия
140 В комплект сертифицированных ФСТЭК/ФСБ версий ПО должно входить: компакт-диск с установочным дистрибутивом продукта; формуляр на ПО с указанием контрольных сумм; копия сертификата соответствия ФСТЭК/ФСБ России на ПО, заверенная синей печатью продавца (иногда предоставляются распечатки); упаковочная коробка, промаркированная голографическим специальным знаком соответствия ФСТЭК/ФСБ России (голографический знак также может быть нанесен на формуляр). Правила поставки сертифицированных продуктов
141 Антивирусные средства В составе системы защиты ИСПДн любых классов должны применяться сертифицированные ФСТЭК РФ антивирусные средства. Сертификация Антивирусных средств проводится на основании РД ФСТЭК «Защита от несанкционированного доступа к информации Часть 1.Программное обеспечение средств защиты информации. Классификация по уровню контроля отсутствия недекларированных возможностей» и ТУ.
142 Антивирусные средства Первый уровень контроля достаточен для ПО, используемого при защите информации с грифом «ОВ». Второй уровень контроля достаточен для ПО, используемого при защите информации с грифом «CC». Третий уровень контроля достаточен для ПО, используемого при защите информации с грифом «C». Четвертый уровень контроля достаточен для ПО, используемого при защите конфиденциальной информации (НДВ-4).
143 Название: Dr.Web Enterprise Suite 5.0, Dr.Web для раб. станций Windows 5.0, Dr.Web для файл. серверов Windows 5.0 Стоимость лицензии на 1 год: для рабочих станций – 990 руб./1 РС для файловых серверов – 6500 руб./1 ФС Стоимость сертиф. дистрибутива: 900 руб. Сертификат: ФСТЭК 2012 (действителен до ) НДВ-2 и ТУ Антивирусные средства
144 Сертифицированный комплект Dr.WEB «Малый бизнес» Состав комплекта: Dr.Web для рабочих станций – для 5 р/ст.; Dr.Web для файловых серверов – для 1 ФC; центр управления Dr.Web Enterprise Suite; сертифицированные дистрибутивы на DVD; формуляр с указанием значений контрольных сумм; голографическая наклейка ФСТЭК России, наклеенная на формуляр. Срок действия лицензий - 1 год. Стоимость комплекта: 4990 руб. Сертификат: ФСТЭК 2012 (действителен до ) НДВ-2 и ТУ
145 Межсетевые экраны Название: ViPNet Personal Firewall 3.1 Стоимость лицензии на 1 год : 2500 руб. Стоимость сертиф. дистрибутива: 500 руб. Сертификат: ФСБ России СФ/ от (действителен до ) Изделие ViPNet Personal Firewall удовлетворяет требованиям ФСБ к устройствам типа межсетевые экрана 4 класса защищенности (МСЭ-4).
146 Межсетевые экраны Название: UserGate Proxy & Firewall 5.2.F Стоимость лицензии на 1 год : Стоимость сертиф. дистрибутива: Сертификат: ФСТЭК 2076 от (действителен до ) имеет оценочный уровень доверия ОУД 2 в соответствии с РД "Безопасность информационных технологий. Критерии оценки безопасности информационных технологий», соответствует требованиям руководящих документов – по 4 классу защищенности для МЭ (МСЭ-4), по 4 уровню контроля НДВ (НДВ-4), при создании АС до класса защищенности 1Г и ИСПДн до 1 класса включительно.
147 Название: Сертификация Windows Microsoft Windows XP Professional SP2/SP3 Стоимость: базовый пакет – 1350 рублей; полный пакет – 2870 рублей. Сертификат: ФСТЭК 844/2 (действителен до ): ОУД-1 ФСТЭК 844/3 (действителен до ): ОУД-1, АС 1Г Средства защиты от НСД
148 Состав полного пакета сертификации MS Windows XP Pro: 1. Верифицированный установочный комплект ПО. 2. Бессрочный абонемент на получение сертифицированных online-обновлений поставляемых ПП. 3. Техническая поддержка (информационные и консультационные услуги) поставляемых ПП. 4. Формуляр на сертифицируемое ПО. 5. Копии Сертификатов ФСТЭК России на поставляемое ПО, заверенные печатью Поставщика. 6. Формуляр на программу контроля сертифицированной версии ПО Check. 7. Медиа-Кит (CD-диск), содержащий: Программу контроля сертифицированной версии ПО; Руководство по безопасной настройке и контролю сертифицированного ПО; Руководство по получению сертифицированных обновлений; Дистрибутив программного модуля eToken Network Logon (32-bit) для реализации усиленной строгой двухфакторной аутентификации пользователей; Драйверы и утилиты для USB-ключей eToken, а также руководства по установке, настройке и работе с ними; Набор информационных материалов по сертифицированному ПО. 8. Лицензии на право использования Программы контроля сертифицированного ПО, приобретаются по количеству рабочих мест, на которых установлено сертифицированное ПО. 9. Сертифицированные USB-ключи eToken PRO для усиленной аутентификации пользователей (дополнительной защиты от НСД), приобретаются по количеству пользователей. 10. Сертифицированный USB-ключ eToken PRO с записанным цифровым сертификатом для получения сертифицированных обновлений (для доступа к доверенной части сайта). Средства защиты от НСД
149 1. У клиента должна быть лицензия на право использования MS Windows (ранее купленная OEM или OLP-лицензия) и дистрибутив продукта на оригинальном CD/DVD носителе, который в дальнейшем необходимо сертифицировать. 2. Сертификационными испытаниями в России занимается компания – ЗАО «АЛТЭКС-СОФТ», г. Москва, через своих партнеров в регионах, по срокам сертификация займет – около месяца. 3. Предоставить компании-партнеру ЗАО «АЛТЭКС-СОФТ», занимающейся сертификацией ПО Майкрософт лицензию на Windows, дистрибутив, заявку с указанием количества сертифицируемых лицензий. 4. Оплатить счет. Порядок сертификации Windows
150 Название: сертифицированный дистрибутив «1С:Предприятие, версия 8.2» - программное средство общего назначения со встроенными средствами защиты информации от НСД. Режим совместимости с версиями 8.0 и 8.1 позволяет использовать версию 1С 8.2 с конфигурациями, разработанными для версий 8.0 и 8.1 без изменения самих конфигураций. Стоимость комплекта: руб. (x32), руб. (x86) (лицензия должна быть куплена заранее) Сертификат: ФСТЭК 2137 от г. СВТ-5, НДВ-4, АС 1Г, ИСПДн К1. Средства защиты от НСД
151 Название: eToken 5 eToken PRO, eToken PRO Anywhere, eToken NG-FLASH, eToken NG-FLASH (Java), eToken NG-OTP, eToken NG-OTP (Java), eToken GT Стоимость: 1320 руб. / 1 шт. Сертификат: ФСТЭК 1883, действителен до ОУД-2, НДВ-4, АС 1Г, ИСПДн К1. Средства защиты от НСД
152 Журнал учета программно-электронных ключей Ведется Администратором безопасности ИСПДн Гриф: Конфиденциально п/ п Дата регистрации или выдачи ФИО программировавшего или выдавшего ключ ФИО пользователя Вид операции Роспись пользова теля Примечание Админский А.А. Программир ование идентификатора A Админский А.А. Выдача идентификатора A Петров П.П. Программир ование идентификатора 693F Петров П.П. Выдача идентификатора 693F
153 Название: Secret Net версия 5.1 (авт. вариант), версия 6 (вариант К) Стоимость одной лицензии (бессрочная): 6800 руб. Стоимость сертиф. дистрибутива: 280 руб. Сертификат: 5.1.: ФСТЭК 1912 (действ. до ), НДВ-2, СВТ-3, для АС 1Б и в ИСПДн К1 включительно. 6 (Вариант К): ФСТЭК 2227 (действ. до ) : НДВ- 4, СВТ-5, для АС 1Г и ИСПДн К1 включительно. Средства защиты от НСД
154 Название: Блокхост-Сеть Стоимость одной лицензии (на 3 года): 4000 руб. Стоимость сертиф. дистрибутива: 700 руб. Сертификат: ФСТЭК 1517 (действ. до ): НДВ-3. ФСТЭК 1351 (действ. до ) : СВТ-3. Средства защиты от НСД
155 Название: Ревизор Сети 2.0 Стоимость лицензии на 1 год: на 5 IP-адресов (минимум): 5000 руб. на 10 IP-адресов: 9275 руб. Стоимость сертиф. дистрибутива: 700 руб. Сертификат: ФСТЭК 1455 до 05 сентября 2013 г Объектами исследования сетевого сканера являются ПЭВМ, сервера, коммутационное оборудование, межсетевые экраны и другие узлы сети, имеющие IP-адреса. Поставка сетевого сканера "Ревизор Сети" осуществляется в рамках лицензии на ограниченное количество IP-адресов. В комплект включены электронные ключи Guardant для USB или LPT портов. Система анализа защищенности и выявления уязвимостей в TCP/IP сетях
156 Название: X-Spider 7.7 Стоимость лицензии на 1 год: на 4 хоста (минимум): 9000 руб. на 8 хостов: руб. Стоимость сертиф. дистрибутива: 700 руб. Сертификат: ФСТЭК 2143 от 28 июля 2010 г. Программное средство сетевого аудита, предназначенное для поиска уязвимостей на серверах и рабочих станциях. XSpider позволяет обнаруживать уязвимости на компьютерах, работающих под управлением различных ОС: AIX, Solaris, Unix-системы, Windows. Сама программа работает под управлением MS Windows (95/98/Millenium/NT/2000/XP/.NET). Система анализа защищенности и выявления уязвимостей в TCP/IP сетях
157 Название: ViPNet Custom 3.1 Производитель: ОАО «ИнфоТеКС» Описание: предназначен для объединения в единую защищенную виртуальную сеть произвольного числа рабочих станций, мобильных пользователей и локальных сетей; и нацелен на решение двух важных задач информационной безопасности: - создание защищенной, доверенной среды передачи конфиденциальной информации с использованием публичных и выделенных каналов связи (Интернет, телефонные и телеграфные линии связи и т.п.), путем организации виртуальной частной сети ( VPN ). - развертывание инфраструктуры открытых ключей (PKI) и организации Удостоверяющего Центра с целью интеграции механизмов электронно-цифровой подписи в прикладное ПО заказчика (системы документооборота и делопроизводства, электронную почту, банковское программное обеспечение, электронные торговые площадки и витрины). Базовыми компонентами ViPNet CUSTOM является ПО ViPNet Administrator, ViPNet Coordinator (в разных вариантах исполнения) и ViPNet Client. Эти компоненты являются основой для развертывания виртуальной частной сети и инфраструктуры открытых ключей. Средства криптографической защиты информации (СКЗИ)
158 Сертификаты соответствия: Программный комплекс «ViPNet Координатор КС3, версия 3.1» ФСБ СФ/ (действителен до ): МСЭ-4 ФСБ России СФ/ (действителен до ): КС3 Программно-аппаратный комплекс «Удостоверяющий центр корпоративного уровня ViPNet» ФСБ России СФ/ (действителен до ): по треб. к ИБ УЦ класса КС3. ФСБ России СФ/ (действителен до ): по треб. к ИБ УЦ класса КС2. Программный комплекс «ViPNet Клиент КС3, версия 3.1» ФСБ России СФ/ (действителен до ): МСЭ-4 ФСБ России СФ/ (действителен до ): КС3 Программный комплекс «ViPNet Клиент КС2, версия 3.1» (вариант комплектации 1 и 2) ФСБ России СФ/ (действителен до ): МСЭ-4 ФСБ России СФ/ (действителен до ): КС1, КС2 (для варианта 2) ФСБ России СФ/ (действителен до ): МСЭ-4 Программный комплекс ViPNet CUSTOM 3.1 ФСТЭК России 1549/1 (действителен до ): МСЭ-3, НДВ-3, ОУД4+. Средства криптографической защиты информации (СКЗИ)
159 Название: АПКШ «Континент» версия 3.5 Производитель: ООО «Код Безопасности» Описание: аппаратно-программный комплекс шифрования «Континент» 3.5 является средством построения виртуальных частных сетей (VPN) на основе глобальных сетей общего пользования, использующих протоколы семейства TCP/IP. АПКШ «Континент» 3.5 обладает всеми необходимыми возможностями, чтобы обеспечить: объединение через Интернет локальных сетей предприятия в единую сеть VPN; подключение удаленных и мобильных пользователей к VPN по защищенному каналу; разделение доступа между информационными подсистемами организации; организация защищенного взаимодействия со сторонними организациями; безопасное удаленное управление маршрутизаторами. Сертификаты соответствия: ФСБ России СФ/124–1503 (действителен до ): КС2 (исполнения 1, 3) ФСБ России СФ/124–1473 (действителен до ): КС2 (исполнения 2, 4) ФСБ России СФ/124–1474 (действителен до ): КС2 (исполнения 5, 6) ФСБ России СФ/525–1462 (действителен до ): МСЭ-4 ФСТЭК России 1905 (действителен до ): НДВ-3, МСЭ-3, АС 1В, ИСПДн К1 ГОСТ Р (РОСТЕСТ) (действителен до ): ГОСТ Р МЭК ; ГОСТ Р ; ГОСТ Р ; ГОСТ Р (Разд ) Средства криптографической защиты информации (СКЗИ)
160 Название: СКЗИ «Континент-АП» версия 3.5 Производитель: ООО «Код Безопасности» Описание: программный VPN клиент, позволяющий удаленному пользователю установить защищенное соединение с Сервером Доступа АПКШ "Континент". В тех случаях, когда в удаленном офисе работает всего 1-2 сотрудника и по каким то причинам установка АПКШ Континент нецелесообразна, возможно защищенное подключение АРМ к ресурсам автоматизированной системы предприятия с помощью программного VPN клиента Континент-АП. Обеспечение возможности защищенного подключения к информационным ресурсам предприятия для мобильных сотрудников. На ноутбуки мобильных сотрудников может быть установлен программный VPN клиент Континент-АП. Сертификаты соответствия: ФСБ России СФ/ (действителен до ): КС1 (исп. 1), КС2 (исп. 2) ФСБ России СФ/ (действителен до ): КС1 (исп. 3) ФСБ России СФ/ (действителен до ): КС2 (исп. 4) ФСБ России СФ/525–1463 (действителен до ): МСЭ-4 ФСТЭК России 1650 (действителен до ): НДВ-4, МСЭ-4 Средства криптографической защиты информации (СКЗИ)
161 Журнал учета СКЗИ – стр. 1 Ведется Администратором безопасности ИСПДн Гриф: Конфиденциально п/п Наименование СКЗИ, эксплуатационной и технической документации к ним, ключевых документов Серийные номера СКЗИ, эксплуатационной и технической документации к ним, номера серий ключевых документов Номера экземпляров (криптографичес- кие номера) ключевых документов Отметка о полученииОтметка о выдаче От кого получены Дата и номер сопроводите- льного письма Ф.И.О. пользователя СКЗИ Дата и расписка в получении Лицензия ViPNet Client 3.x(КС2) ООО «РиК» К Иванов И.И. 2 CD-диск ViPNet Client КС2 586A-009XXX 1 ООО «РиК» К Иванов И.И. 3 Формуляр Клиент КС2 ФРКЕ ФО - 1 ООО «РиК» К Иванов И.И. 4 Копия сертификата соотв. ФСБ СФ/ ООО «РиК» К Иванов И.И.
162 Журнал учета СКЗИ – стр. 2 Ведется Администратором безопасности ИСПДн Гриф: Конфиденциально Отметка о подключении (установке) СКЗИ Отметка об изъятии СКЗИ из аппаратных средств, уничтожении ключевых документов Примечание Ф.И.О. сотрудников органа криптографической защиты, пользователя СКЗИ, произведших подключение (установку) Дата подключения (установки) и подписи лиц, произведших подключение (установку) Номера аппаратных средств, в которые установлены или к которым подключены СКЗИ Дата изъятия (уничтожения) Ф.И.О. сотрудников органа криптографической защиты, пользователя СКЗИ, произведших изъятие (уничтожение) Номер акта или расписка об уничтожении Админский А.А ПЭВМ RT С CD-диска Установлен ViPNet Client КС2 Админский А.А ПЭВМ RT
163 Вариант системы защиты локальной ИСПДн класса К3 VI. Комплексные решения по защите ПДн
164 Исходные данные об ИСПДн В организации имеется две ИСПДн: 1. ИСПДн «1С Бухгалтерия 7.7»: 2-х ПЭВМ в составе ЛВС; класс К3, локальная, с подключением к сети Internet. 2. ИСПДн «1С Кадры 8.1»: 1 ПЭВМ в составе ЛВС; класс К3, локальная, с подключением к сети Intеrnet. Базы с персональными данными хранится на сервере.
165 Исходные данные об ИСПДн
166 Пример реализации СЗПДн
167 Расчет стоимости СЗИ Наименование СЗИКол- во Цена за 1 шт., руб. Стоимость, руб.** Сертифицированный комплект Dr. WEB «Малый бизнес» (для 5 раб./ст. и 1 сервера) 14990**4990 Межсетевой экран «ViPNet Personal Firewall 3.1» ** Средство защиты от несанкционированного доступа «Secret Net 5.1» ** Электронный ключ «E-Token» для усиленной аутентификации 8*8* Система анализа защищенности TCP/IP сетей «Ревизор 2.0» на 5 IP-адресов **5 700 ИТОГО * - кол-во идентификаторов подбирается исходя из общего числа пользователей; ** - в стоимость СЗИ включена стоимость Сертифицированных дистрибутивов; Сроки лицензий: Dr.Web – 1 год, ViPNet – бессрочная, Secret Net – бессрочная, Ревизор сети – 1 год.
168 Вариант защиты сети передачи данных на примере головного офиса и филиалов (огромное кол-во территориально-разнесенных ПК, сосредоточенных в небольшом кол-ве филиалов)
169 Исходные данные
170 Пример реализации ЗСПД
171 Расчет стоимости ЗСПД Наименование СЗИКол- во Цена за 1 шт., руб. Стоимость, руб.** Антивирус «Dr.WEB для рабочих станций 5.0» N *N Средство защиты от несанкционированного доступа «Secret Net 5.1» N *N Электронный ключ «E-Token» для усиленной аутентификации 2*N *2*N ViPNet Administrator [ПО Центр Управления Сетью и ПО Удостоверяющий и Ключевой Центр] версии 3.х( КС2) ПО ViPNet Coordinator 3.х (КС2)N *N ПО ViPNet Client 3.х (КС2)N *N ИТОГО: (63858*N+70800) руб. N – кол-во ПЭВМ (раб. станций и серверов), входящих в состав распределенной сети; Сроки лицензий: Dr.Web – 1 год, ViPNet – бессрочная, Secret Net – бессрочная.
172 Вариант защиты сети передачи данных на примере головного офиса и филиалов (небольшое кол-во территориально-разнесенных ПК, расположенных в небольшом кол-ве филиалов)
173 Пример реализации ЗСПД-2
174 Наименование СЗИКол- во Цена за 1 шт., руб. Стоимость, руб.** Антивирус «Dr.WEB для рабочих станций 5.0» N *N Средство защиты от несанкционированного доступа «Secret Net 5.1» N *N Электронный ключ «E-Token» для усиленной аутентификации 2*N *2*N АПКШ «Континент» 3.5. ЦУС - Сервер Доступа. Платформа IPC-100* Право на использование Континент АП (1 доп. подкл. пользователя Континент АП к СД), с правом использования КриптоПро CSP 3.6 N *N Установочный комплект. «Континент-АП» версия 3.5 N250250*N ИТОГО: (16890*N ) руб. (схема актуальна при защите до удаленных ПЭВМ) N – кол-во ПЭВМ (раб. станций и серверов), входящих в состав распределенной сети; Сроки лицензий: Dr.Web – 1 год, Континент АП – бессрочная, Secret Net – бессрочная. Расчет стоимости ЗСПД-2
175 Декларирование соответствия ИСПДн требованиям по безопасности информации; Аттестация ИСПДн на соответствие требованиям по безопасности информации VII. Оценка соответствия ИСПДн требованиям по безопасности информации
176 Аттестация Срок действия аттестата – 3 года Делегирование рисков несоответствия действующему законодательства органу по аттестации (лицензиату ФСТЭК), выдавшему аттестат соответствия Упрощение процедуры проверки со стороны регуляторов Более высокая стоимость Декларирование Ответственность за правильность построения СЗПДн – на том кто проводит Декларирование соответствия законодательно разрешено, но процедура декларирования нигде не определена и не прописана Возможны проблемы при прохождении проверок регуляторов Сравнение способов оценки соответствия ИСПДн
177 Кто проводит: лицензиат ФСТЭК Основание: программа и методика аттестационных испытаний На каком этапе: ввод в эксплуатацию, аттестационные испытания Документ: Протоколы (НСД, ПЭМИН) аттестационных испытаний Заключение по результатам аттестационных испытаний ИСПДн Аттестат соответствия (сроком на 3 года) Кто несет ответственность: лицензиат ФСТЭК Аттестация ИСПДн
178 Подготовка Технического паспорта на ОИ; Разработка программы и методики Аттестационных испытаний (согласование с Заказчиком); Проверка требований по соблюдений организационно- режимных мероприятий и уровню подготовки кадров; Проверка представленной документации на ОИ реальным условиям функционирования ОИ. Проведение испытаний по НСД, контроля защищенности информации, специальных исследований по каналу ПЭМИН (для ИСПДн класса К1); Заключение по результатам аттестационных испытаний Решение о выдаче Аттестата соответствия Аттестация ИСПДн на соответствие требованиям по безопасности информации
179 1. Общие сведения 1.1 Наименование объекта: Информационная система персональных данных «1С Бухгалтерия 7.7» ООО «РиК». 1.2 Расположение объекта: , г. Омск. ул. Омская, д.1, второй этаж. 1.3 Частная модель угроз безопасности ПДн в ИСПДн «1С Бухгалтерия 7.7» утверждена г уч. 10К. 1.4 Класс ИСПДн «1С Бухгалтерия 7.7»: K3 (акт классификации ИСПДн «1С Бухгалтерия 7.7» уч. 11К от г) Технический паспорт ИСПДн
180 2. Состав оборудования ИСПДн 2.1. Перечень основных технических средств и систем (ОТСС) ИСПДн «1С Бухгалтерия 7.7» представлен в Таблице. п/п Тип ОТСС Заводской (инвентарный) номер Размещение 1. Системный блок ПЭВМ «RT» Кабинет 2 2. Монитор Samsung SyncMaster 934 N Клавиатура Mitsumi KFK-EA4XT Мышь Logitech M-UAE Принтер HP Deskjet Сканер Epson Perfection Технический паспорт ИСПДн
181 п/п Тип ВТСС Заводской (инвентарный) номер Размещение 1. Телефон PANASONIC KX-TS2361 RUW Кабинет 2 2. Кондиционер Electrolux EACS-09 HC Источник бесперебойного питания APC BK500EI Сетевой фильтр Pilot-S Перечень вспомогательных технических средств и систем (ВТСС) ИСПДн «1С Бухгалтерия 7.7» представлен в Таблице 2. Технический паспорт ИСПДн
182 2.3. Перечень программного обеспечения (ПО) ПЭВМ, входящих в состав ИСПДн «Бухгалтерия 7.7» представлен в Таблице 3. п/п Тип программного обеспечения Наименование программыМесто установки 1. Операционная система Microsoft Windows XP Professional (сборка , Service Pack 3) ПЭВМ «RT» Прикладные программы - 1С:Предприятие. Бухгалтерский учет 7.7 (сетевая версия); - Программа архивации данных 7-Zip 4.65; - Программа просмотра графических документов формата.pdf Adobe Reader 9.3.3; - CheckXML; - Веб-браузер Microsoft Internet Explorer ; - Средства разработки документов Microsoft Office Standard 2007 (Excel, Outlook, Power Point, Word); - Программа сдачи налоговой отчетности через Интернет Контур-Экстерн; - Модуль сдачи налоговой отчетности Контур- Экстерн Лайт; - Программа криптографической защиты данных КриптоПро CSP ; - Программа просмотра и печати бланков ПФР для системы ПУ; - Программа-анкета ФСФР России. Технический паспорт ИСПДн
183 2.4. Перечень средств защиты персональных данных в ИСПДн представлен в Таблице 4. п/п Наименование и тип технического средства Заводской номер* Сведения о сертификате Место установки 1. Система защиты информации от НСД «Secret Net 5.1» (автономный вариант) KX68T354 Сертификат ФСТЭК 912 от (действителен до ) ПЭВМ «RT» Антивирусная программа «Dr.WEB для рабочих станций 5.0» 7453PE Сертификат ФСТЭК (действителен до) 3. Межсетевой экран «ViPNet Personal Firewall 3.1» 9966 Сертификат ФСБ СФ/ от (действителен до ) 4. Сетевой сканер «Ревизор Сети 2.0» 84R46667 Сертификат ФСТЭК 1455 от (действителен до ) Технический паспорт ИСПДн * - заводские номера средств защиты вымышленные
184 3. СВЕДЕНИЯ О СООТВЕТСТВИИ АС ТРЕБОВАНИЯМ ПО БЕЗОПАСНОСТИ ИНФОРМАЦИИ 3.1 Протокол проведения испытаний объекта информатизации Автоматизированная система «1С Бухгалтерия 7.7» на соответствие требованиям по защите от НСД к хранимой и обрабатываемой информации, уч. ___ от «__» _______ 20__ г. 3.2 Заключение по результатам аттестации (оценки соответствия) объекта информатизации Автоматизированная система «1С Бухгалтерия 7.7» на соответствие требованиям по безопасности информации ___ от «__» _______ 20__ г. 3.3 Аттестат соответствия объекта информатизации Автоматизированная система «1С Бухгалтерия 7.7» требованиям безопасности информации, ___ от «__» ______ 20__ г. Технический паспорт ИСПДн
185 Порядковый и дата введения изменений Наименование документа фиксирующего изменения замененных (исправленных) листов паспорта Подпись лица, внесшего изменения 4. Лист регистрации изменений Таблица 5 Технический паспорт ИСПДн
186 ВОПРОСЫ
187 Адрес: , Россия, г. Омск, ул. Звездова 129, корп. 3 Тел./факс: +7 (3812) Веб-сайт: Благодарю за внимание!!! С уважением, Радюга Дмитрий Леонидович, Начальник отдела ИБ ООО «Прайм» Наши контакты
188 Запись Вебинара от можно прослушать по ссылке: В настоящем Вебинаре приведен подход к защите персональных данных, реализуемый специалистами ООО «Прайм». Данный подход основан исключительно на опыте реализации проектов нашими специалистами. ООО «Прайм» не несет ответственности за использование Вами представленных здесь материалов, а также за возможные финансовые потери, которые может повлечь использование указанных здесь сведений. Некоторые слайды, представленные в настоящей презентации, нуждаются в пояснениях, рекомендуется слушать Вебинар в записи. NB!
Еще похожие презентации в нашем архиве:
© 2024 MyShared Inc.
All rights reserved.