ЗАМЕСТИТЕЛЬ ДИРЕКТОРА ФИЛИАЛА ОАО «БИТК» В г. ВОРОНЕЖЕ СЕЛИФАНОВА НАТАЛИЯ НИКОЛАЕВНА ЗАМЕСТИТЕЛЬ ДИРЕКТОРА ФИЛИАЛА ОАО «БИТК» В г. ВОРОНЕЖЕ СЕЛИФАНОВА. - презентация

1 ЗАМЕСТИТЕЛЬ ДИРЕКТОРА ФИЛИАЛА ОАО «БИТК» В г. ВОРОНЕЖЕ СЕЛИФАНОВА НАТАЛИЯ НИКОЛАЕВНА ЗАМЕСТИТЕЛЬ ДИРЕКТОРА ФИЛИАЛА ОАО «БИТК» В г. ВОРОНЕЖЕ СЕЛИФАНОВА НАТАЛИЯ НИКОЛАЕВНА

2 Набор обязательных и компенсационных мер

3 Правила согласования проектов решений ….об определении дополнительных угроз безопасности ПДн, … Перечень мер направленных на обеспечение выполнения обязанностей предусмотренных 152 -ФЗ и принятыми в соответствии с ним НПА, операторами, являющимися государственными и муниципальными органами ПП РФ 940 ПП РФ 211 требования по лицензированию деятельности в области ТЗКИ ПП РФ 79 и 313 3

4 требования по обеспечению безопасности ПДн при их обработке в ИСПДн особенностях оценки соответствия продукции (работ, услуг) требования к материальным носителям биометрических ПДн и технологиям хранения таких данных ПП РФ 687 и 1119 (в отдельных случаях 781) ПП РФ 512 ПП РФ 266 и 330 4

5 ГИС Тройственный приказ ПП 1119 Категория ПДн Тип ПДн Объём Количест во Масштаб Тип угроз Уровень значимости Класс ИСПДн 5

6 СЗИ создана до ноября 2012 Срок действия – до конца аттестата соответствия или изменения в ИСПДн СЗИ создана после ноября 2012

7

8 ГОСТ РО Защита информации. Аттестация объектов информатизации. Общие положения. ГОСТ РО Защита информации. Аттестация объектов информатизации. Общие положения. Документы ФСТЭК России и ФСБ России Стандарты организации ГОСТ РО Защита информации. Аттестация объектов информатизации. Программа и методики аттестационных испытаний. ГОСТ РО Защита информации. Аттестация объектов информатизации. Программа и методики аттестационных испытаний.

9 формирование требований к защите информации, содержащейся в информационной системе разработка системы защиты информации информационной системы внедрение системы защиты информации информационной системы аттестация информационной системы по требованиям защиты информации и ввод ее в действие обеспечение защиты информации в ходе эксплуатации аттестованной информационной системы обеспечение защиты информации при выводе из эксплуатации аттестованной информационной системы или после принятия решения об окончании обработки информации

10 Модель угроз безопасности информации Акты классификации и определения уровня защищенности Техническое задание Проектная и эксплуатационная документация Организационно-распорядительные документы Результаты анализа уязвимостей информационной системы Материалы предварительных и приемочных испытаний Протоколы аттестационных испытаний Заключение о соответствии ИС требованиям о защите информации Аттестат соответствия

11 ГОСТ Р «Защита информации. Порядок создания автоматизированных систем в защищенном исполнении. Общие положения.» ГОСТ Р «Защита информации. Автоматизированные системы в защищенном исполнении. Общие требования» ГОСТ « Комплекс стандартов на автоматизированные системы. Техническое задание на создание автоматизированной системы.» ГОСТ « Информационная технология. Комплекс стандартов на автоматизированные системы. Автоматизированные системы. Стадии создания.» ГОСТ «Информационная технология. Комплекс стандартов на автоматизированные системы. Виды, комплектность и обозначение документов при создании автоматизированных систем» ГОСТ «Информационная технология. Виды испытаний автоматизированных систем»

12 Руководящий документ. Средства вычислительной техники. Межсетевые экраны. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации Руководящий документ. Защита от несанкционированного доступа к информации. Часть1. Программное обеспечение средств защиты информации. Классификация по уровню контроля отсутствия недекларированных возможностей. Руководящий документ. Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации Требования к системам обнаружения вторжений, Приказ ФСТЭК России от Требования к системам обнаружения вторжений, Приказ ФСТЭК России от Требования к средствам антивирусной защиты, Приказ ФСТЭК России от Требования к средствам антивирусной защиты, Приказ ФСТЭК России от Руководящий документ. Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации.

13 1 и 2 уровни и классы защищенности

14 3 уровень и класс защищенности

15 4 уровень и класс защищенности

16 15 групп мер, с кратким описанием – всего мер 109 Базовых мер для класса (уровня) защищенности Базовых мер для класса (уровня) защищенности Базовых мер для класса (уровня) защищенности Базовых мер для класса (уровня) защищенности Дополнительных мер- 40

17

18