ЮГОРСКИЙ НИИ ИНФОРМАЦИОННЫХ ТЕХНОЛОГИЙ КОМПЛЕКСНЫЙ ПОДХОД К СОЗДАНИЮ СИСТЕМЫ ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ В ОРГАНИЗАЦИЯХ. - презентация

1 ЮГОРСКИЙ НИИ ИНФОРМАЦИОННЫХ ТЕХНОЛОГИЙ КОМПЛЕКСНЫЙ ПОДХОД К СОЗДАНИЮ СИСТЕМЫ ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ В ОРГАНИЗАЦИЯХ

2 Изменения в законодательстве ЦЕНТР ТЕХНИЧЕСКОЙ ЗАЩИТЫ ИНФОРМАЦИИ o Постановление Правительства РФ от 1 ноября 2012г o Приказ ФСТЭК России от г. 21 o Приказ ФСТЭК России от г. 17 o Федеральный закон от 27 июля 2006г. 152-ФЗ «О персональных данных» с правками, внесенными Федеральным законом от 25 июля 2011г. 261-ФЗ ЮНИИ ИТ 20132

3 Изменения в законодательстве ЦЕНТР ТЕХНИЧЕСКОЙ ЗАЩИТЫ ИНФОРМАЦИИ ЮНИИ ИТ Тип ИСПДн Сотрудники оператора Количество субъектов Тип актуальных угроз 123 ИСПДн-СНет Да > < УЗ-1 УЗ-2 УЗ-3 ИСПДн-БУЗ-1УЗ-2УЗ-3 ИСПДн-ИНет Да > < УЗ-1 УЗ-2 УЗ-3 УЗ-4 ИСПДн-ОНет Да > < УЗ-2 УЗ-3 УЗ-4

4 Изменения в законодательстве (Классы ГИС (Приказ ФСТЭК России 17)) ЦЕНТР ТЕХНИЧЕСКОЙ ЗАЩИТЫ ИНФОРМАЦИИ ЮНИИ ИТ 20134

5 Приказ ФСТЭК России 21, Приказ ФСТЭК России 17 ЦЕНТР ТЕХНИЧЕСКОЙ ЗАЩИТЫ ИНФОРМАЦИИ ЮНИИ ИТ Приказ ФСТЭК 17Приказ ФСТЭК 21 Для новых или модернизируемых ИС Распространяется на ГИС и МИС Распространяется на Операторов ПДн Обязательная аттестация ИС Проведение оценки эффективности защитных мер Применение сертифицированных СЗИПрименение СЗИ, прошедших процедуру оценки соответствия Определяет порядок классификации ИСПорядок определения УЗ ПДн установлен в ПП 1119 Практически одинаковый набор мер защиты

6 Приказ ФСТЭК России 21, Приказ ФСТЭК России 17 ЦЕНТР ТЕХНИЧЕСКОЙ ЗАЩИТЫ ИНФОРМАЦИИ o Приказ ФСТЭК России 17 регулирует деятельность по защите государственных информационных систем, в том числе при обработке ПДн o Приказ ФСТЭК России 21 регулирует деятельность ВСЕХ операторов ПДн кроме государственных информационных систем. ЮНИИ ИТ 20136

7 Основные этапы работ ЦЕНТР ТЕХНИЧЕСКОЙ ЗАЩИТЫ ИНФОРМАЦИИ Аудит информационной системы (Обследование информационной системы, обрабатывающей персональные данные, оценка ее соответствия требованиям нормативных документов по защите персональных данных) Определение актуальных угроз по ПП 1119; Определение уровня защищенности ПДн; Разработка модели угроз безопасности персональных данных и модели нарушителя; Выработка требований по обеспечению безопасности исходя из Приказа ФСТЭК России 21 ЮНИИ ИТ 20137

8 Основные этапы работ ЦЕНТР ТЕХНИЧЕСКОЙ ЗАЩИТЫ ИНФОРМАЦИИ На основании требований разработка Технического задания и/или Технического проекта на создание системы защиты персональных данных Разработка проектов организационно-распорядительной документации Поставка и внедрение технических средств защиты информации Опытная эксплуатация СЗПДн Оценка соответствия информационной системы, обрабатывающей персональные данные, требованиям по безопасности информации ЮНИИ ИТ 20138

9 Основные этапы работ ЦЕНТР ТЕХНИЧЕСКОЙ ЗАЩИТЫ ИНФОРМАЦИИ Сопровождение СЗПДн ЮНИИ ИТ 20139

10 Сопровождение ЦЕНТР ТЕХНИЧЕСКОЙ ЗАЩИТЫ ИНФОРМАЦИИ ЮНИИ ИТ обход всех автоматизированных рабочих мест пользователей и серверов информационной системы (проверка журналов и настроек средств защиты информации) переустановка средств защиты информации, сопровождение работ, выполняемые другими специалистами по модификации аппаратно-программного обеспечения и восстановлению данных поддержка состава и содержания организационно-распорядительных документов, направленных на обеспечение безопасности информации обрабатываемой в информационной системе (корректировка списка актуальных угроз, матрицы доступа, технического паспорта ИСПДн, инструкций и описания технологического процесса обработки информации, проверка журналов учета и т.д.) проведение ежегодных работ по оценки эффективности системы защиты информации с использованием средств контроля защищенности, контрольно- измерительного и испытательного оборудования проведение учебных семинаров по вопросам обеспечения безопасности информации

11 Заметки ЦЕНТР ТЕХНИЧЕСКОЙ ЗАЩИТЫ ИНФОРМАЦИИ ЮНИИ ИТ Основные факторы влияющие на процесс разработки, внедрения и сопровождения СЗИ Отсутствие комплексного и системного подхода к формированию СЗИ Недопонимание со стороны руководства и сотрудников организации важности решения задачи по обеспечению защиты информации Технологический процесс обработки информации в ИС недокументирован Применяемые меры воздействия незначительны Несовершенство и сложность нормативно-правовой базы Сложность выбора средств защиты информации, особенно для ИС, в которых используется неоднородное программного и технического обеспечения Отсутствие специалистов в области защиты информации Недостаточное финансирование выполнения работ

12 Заметки ЦЕНТР ТЕХНИЧЕСКОЙ ЗАЩИТЫ ИНФОРМАЦИИ ЮНИИ ИТ Рекомендации по организации процесса создания СЗПДн (минимизация расходов, сроков создания, повышения эффективности) Привлечение для выполнения работ специализированной организации, особенно на этапе обследования Разработка плана проекта создания СЗИ (перечень работ, расписание, стоимость, коммуникация, исполнители, риски, интеграция) Приведение разъяснительной работы среди сотрудников организации о важности обеспечения защиты информации Обучение сотрудников организации (выполнение организационно- распорядительной документации), проверка эффективности СЗИ К реализации проектов создания СЗИ нужно как минимум приступать вчера

13 Документы ЦЕНТР ТЕХНИЧЕСКОЙ ЗАЩИТЫ ИНФОРМАЦИИ лицензия ФСБ России (регистрационный номер 251 от г.) перечень работ определен Постановлением Правительства РФ от лицензия ФСТЭК России (регистрационный номер 1903 от г.) перечень работ определен Постановление Правительства РФ от согласованная с ФСБ и ФСТЭК России учебная программа «Обеспечение безопасности персональных данных при их обработке в информационных системах персональных данных» ЮНИИ ИТ

14 Наши заказчики ЦЕНТР ТЕХНИЧЕСКОЙ ЗАЩИТЫ ИНФОРМАЦИИ Администрация Нефтеюганского района Администрация г. Нижневартовска Администрация г. Ханты-Мансийска Администрация Ханты-Мансийского района Администрация Октябрьского района Администрация г. Югорска Департамент труда и занятости населения ХМАО-Югры ЮНИИ ИТ

15 Наши заказчики ЦЕНТР ТЕХНИЧЕСКОЙ ЗАЩИТЫ ИНФОРМАЦИИ Департамент финансов ХАО-Югры Администрация Нижневартовского района Департамент информационных технологий ХМАО-Югры Ханты-мансийский негосударственный пенсионный фонд МФЦ г. Пыть-Ях МФЦ г. Нижневартовска ЮНИИ ИТ

16 Наши заказчики ЦЕНТР ТЕХНИЧЕСКОЙ ЗАЩИТЫ ИНФОРМАЦИИ МФЦ г. Урая МФЦ г. Нягань МФЦ Нефтеюганского района Администрация г. Когалыма ЮНИИ ИТ

17 ЮГОРСКИЙ НИИ ИНФОРМАЦИОННЫХ ТЕХНОЛОГИЙ СПАСИБО ЗА ВНИМАНИЕ Контакты: