Скачать презентацию
1
Этапы создания системы защиты персональных данных СПЕЦИАЛЬНЫЕ ВЫЧИСЛИТЕЛЬНЫЕ КОМПЛЕКСЫ Научно-производственное предприятие
2
Нормативно-правовая база СПЕЦИАЛЬНЫЕ ВЫЧИСЛИТЕЛЬНЫЕ КОМПЛЕКСЫ Научно-производственное предприятие ФЗ от ФЗ «О персональных данных» ПП РФ от « Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных » ПП РФ от «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации» ПП РФ от «Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами» ПП РФ от «Об утверждении требований к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных» Приказ ФСТЭК России от «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных»
3
Этапы построения системы защиты ПДн 1.Предпроектный этап: предпроектное обследование состояния защищенности ПДн, обрабатываемых оператором; моделирование угроз и выработка требований по обеспечению безопасности информации; разработка технического (частного технического) задания на систему защиты ПДн. 2.Этап проектирования и создания системы защиты ПДн: разработка и ввод в действие политики информационной безопасности (организационно распорядительной документации); разработка технического проекта на систему защиты ПДн; приобретение, установка и настройка средств защиты информации. 3.Этап ввода в действие системы защиты ПДн: опытная эксплуатация и приемо-сдаточные испытания средств защиты информации; аттестация информационной системы по требованиям безопасности информации. 4.Обеспечение защиты информации в ходе эксплуатации аттестованной информационной системы. СПЕЦИАЛЬНЫЕ ВЫЧИСЛИТЕЛЬНЫЕ КОМПЛЕКСЫ Научно-производственное предприятие
4
Предпроектное обследование состояния защищенности ПДн, обрабатываемых оператором: Сбор сведений об информационных системах персональных данных (тип операционной системы, количество АРМ, структурная схема ИСПДн, перечень ПДн, обрабатываемых в ИСПДн); Анализ эффективности существующей политики безопасности (организационно распорядительной документации); Анализ применяемых правовых мер защиты персональных данных: анализ соответствия содержания и объема обрабатываемых персональных данных заявленным целям обработки; выявление случаев, когда обработка персональных данных правомерна только при наличии согласия субъекта персональных данных; анализ соответствия имеющихся образцов форм согласия субъектов персональных данных требованиям законодательства; проверка соответствия договоров с третьими лицами, содержащих поручение обработки персональных данных, требованиям законодательства; проверка полноты и достоверности сведений, содержащихся в представленном в Роскомнадзор уведомлении об обработке ПДн; проверка соответствия приема, учета и обработки обращений субъектов ПДн требованиям законодательства; Разработка рекомендаций по приведению информационных систем персональных данных в соответствие с требованиями нормативно-правовых документов в области защиты персональных данных. СПЕЦИАЛЬНЫЕ ВЫЧИСЛИТЕЛЬНЫЕ КОМПЛЕКСЫ Научно-производственное предприятие
5
Документы, регламентирующие защиту персональных данных в организации: 1) Приказ о назначении ответственных лиц; 2) Документ, определяющий политику информационной безопасности для сайта (или ознакомления другим способом); 3) Перечень ПДн, обрабатываемых в ИСПДн; 4) Перечень лиц, имеющих доступ к ИСПДн; 5) Приказ об установлении границ контролируемой зоны; 6) Инструкция по режимным мерам и допуску; 7) Разрешительная система доступа персонала к сведениям конфиденциального характера (матрица доступа); 8) Технический паспорт на ИСПДн; 9) Журнал учета машинных носителей ПДн; 10) Инструкция администратора информационной безопасности ИСПДн; 11) Инструкция пользователя ИСПДн; 12) Инструкция по организации парольной защиты; 13) Инструкция по проведению антивирусного контроля; 14) Инструкция по эксплуатации технических и программных СЗИ; 15) Инструкция по модернизации, ремонту, техническому обслуживанию; 16) Инструкция по резервному копированию и восстановлению. СПЕЦИАЛЬНЫЕ ВЫЧИСЛИТЕЛЬНЫЕ КОМПЛЕКСЫ Научно-производственное предприятие
6
Этапы построения системы защиты ПДн 1.Предпроектный этап: предпроектное обследование состояния защищенности ПДн, обрабатываемых оператором; моделирование угроз и выработка требований по обеспечению безопасности информации; разработка технического (частного технического) задания на систему защиты ПДн. 2.Этап проектирования и создания системы защиты ПДн: разработка и ввод в действие политики информационной безопасности (организационно распорядительной документации); разработка технического проекта на систему защиты ПДн; приобретение, установка и настройка средств защиты информации. 3.Этап ввода в действие системы защиты ПДн: опытная эксплуатация и приемо-сдаточные испытания средств защиты информации; аттестация информационной системы по требованиям безопасности информации. 4.Обеспечение защиты информации в ходе эксплуатации аттестованной информационной системы. СПЕЦИАЛЬНЫЕ ВЫЧИСЛИТЕЛЬНЫЕ КОМПЛЕКСЫ Научно-производственное предприятие
7
Спасибо за внимание! Щетинина Юлия тел: (3467) СПЕЦИАЛЬНЫЕ ВЫЧИСЛИТЕЛЬНЫЕ КОМПЛЕКСЫ Научно-производственное предприятие
