Защита персональных данных в информационных системах 24 ноября 2010 года. - презентация

1 Защита персональных данных в информационных системах 24 ноября 2010 года

2 Нормативные документы Приказ от 18 ноября 2009 г Об утверждении Положения об обработке и защите персональных данных в Федеральном агентстве по образованию Письмо Федерального агентства по образованию от «Об обеспечении защиты персональных данных» Письмо Федерального агентства по образованию от 22 октября 2009 г «Об обеспечении защиты персональных данных» Письмо Федерального агентства по образованию от 15 февраля 2010 г «Об обеспечении защиты персональных данных»

3 План мероприятий по реализации требований Федерального закона 152-ФЗ от г. 1.Анализ информационных ресурсов 2.Анализ угроз безопасности ИСПДн 3.Создание системы защиты персональных данных, обрабатываемых в ИСПДн 4.Разработка распорядительных и нормативных документов по организации защиты ПДн, обрабатываемых в ИСПДн

4 Анализ информационных ресурсов Определение состава, содержания и местонахождение ПДн, подлежащих защите Классификация ИСПДн Перечень персональных данных, обрабатываемых в ИСПДн ( документа и дата) Акт классификации информационной системы персональных данных ( документа и дата для каждой ИСПДн)

5 Анализ угроз безопасности ИСПДн Составление перечня уязвимости и возможных угроз безопасности ПДн Оценка актуальности угроз безопасности ПДн Создание частной (специальной) модели угроз безопасности ПДн Модель угроз безопасности ПДн, обрабатываемых в ИСПДн ( документа и дата)

6 Создание системы защиты персональных данных, обрабатываемых в ИСПДн Разработка системы защиты персональных данных в ИСПДн Поставка, установка, наладка, опытная эксплуатация, устранение недостатков по результатам опытной эксплуатации и ввод в эксплуатацию системы защиты ПДн, в обрабатываемых ИСПДн Проект создания системы защиты ПДн, в обрабатываемых ИСПДн Спецификация по закупке средств Акт ввода в эксплуатацию системы защиты ПДн, обрабатываемых ИСПДн

7 Разработка распорядительных и нормативных документов по организации защиты ПДн, обрабатываемых в ИСПДн Разработка и выпуск приказа о назначении работника (структурного подразделения), ответственного за обеспечение безопасности конфиденциальной информации, в том числе ПДн Разработка и выпуск приказа о составе комиссии по классификации информационных систем персональных данных Приказ… ( документа и дата)

8 Разработка распорядительных и нормативных документов по организации защиты ПДн, обрабатываемых в ИСПДн Разработка и выпуск приказа о выделении помещения (помещений) в котором производится обработка ПДн. Приложение к приказу: список допущенных сотрудников Разработка и выпуск приказа об утверждении списка лиц, доступ которых к персональным данным, обрабатываемых в информационных системах, необходим для выполнения служебных (трудовых) обязанностей Приказ… ( документа и дата)

9 Разработка распорядительных и нормативных документов по организации защиты ПДн, обрабатываемых в ИСПДн Разработка и выпуск приказа о назначении администраторов безопасности системы защиты ПДн и администраторов прикладного ПО Разработка и выпуск приказа об утверждении мест хранения материальных носителей персональных данных (в случае неавтоматизированной обработки ПДн) Разработка и утверждение переченя ПДн, подлежащих защите и лист ознакомления к нему Приказ… ( документа и дата) Утвержденный перечень… ( документа и дата)

10 Разработка распорядительных и нормативных документов по организации защиты ПДн, обрабатываемых в ИСПДн Разработка матрицы доступа к персональным данным в ИСПДн Разработка и направление в уполномоченный орган уведомления об обработке персональных данных Разработка положения о порядке обработки и обеспечении безопасности персональных данных Разработка инструкции по порядку учета и хранению съемных носителей ПДн Матрица доступа... ( документа и дата) Выписка из реестра операторов Положение… ( документа и дата)

11 Разработка распорядительных и нормативных документов по организации защиты ПДн, обрабатываемых в ИСПДн Разработка инструкции, определяющей порядок охраны, внутри объектовый режим и порядок допуска лиц в помещения, в которых ведется обработка персональных данных Разработка положения о подразделении, осуществляющем функции по организации защиты персональных данных (при наличии подразделения) Разработка положения (инструкция) о резервировании и восстановлении работоспособности ТС и ПО, баз данных и средств СЗПДн Инструкция… ( документа и дата) Положение… ( документа и дата)

12 Разработка распорядительных и нормативных документов по организации защиты ПДн, обрабатываемых в ИСПДн Разработка руководства пользователя по обеспечению безопасности ИСПДн Разработка руководства администратора по обеспечению безопасности ИСПДн Разработка журнала учета бумажных и съемных носителей ПДн Разработка журнала регистрации и учета обращений субъектов персональных данных Разработка журнала учета персональных данных для пропуска субъекта персональных данных на территорию оператора Руководство… ( документа и дата) Руководство... ( документа и дата) Журнал... ( документа и дата)

13 Разработка распорядительных и нормативных документов по организации защиты ПДн, обрабатываемых в ИСПДн Разработка перечня используемых сертифицированных технических средств защиты информации Разработка плана мероприятий по защите персональных данных Разработка плана внутренних проверок состояния защиты персональных данных Перечень... ( документа и дата) План... ( документа и дата)

14 Разработка распорядительных и нормативных документов по организации защиты ПДн, обрабатываемых в ИСПДн Разработка типовых форм документов, предполагающие или допускающие содержание персональных данных Получение письменного согласия субъектов персональных данных на обработку их персональных данных Распечатка (копия) шаблонов содержащих персональные данные (формы и поля заполнения), определенные оператором Типовые формы... ( документа и дата) Письменное согласие получено Распечатка шаблонов... ( документа и дата)

15

16