2. ЗАЩИТА ИНФОРМАЦИИ ПО ПОЛОЧКАМ
Федеральный закон от 27.07.2006 № 149-ФЗ «Об информации,
информационных технологиях и о защите информации»
Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных
данных»
Нормативные, руководящие и методических документах ФСТЭК
России
Нормативные, руководящие и методических документах и ФСБ
России
Государственные стандарты
Законодательство в сфере защиты информации
3. ЗАЩИТА ИНФОРМАЦИИ ПО ПОЛОЧКАМ
КАК ОРГАНИЗОВАТЬ МЕРОПРИЯТИЯ ПО ЗАЩИТЕ ИНФОРМАЦИИ?
КАКИЕ НЕОБХОДИМО ПРИНЯТЬ МЕРЫ?
С ЧЕГО НАЧАТЬ?
4. ЗАЩИТА ИНФОРМАЦИИ ПО ПОЛОЧКАМ
ПОЛОЧКА 1. ОПРЕДЕЛЕНИЕ ЛИЦ, ОТВЕЧАЮЩИХ ЗА ВЫПОЛНЕНИЕ ТРЕБОВАНИЙ
УСТАНОВЛЕННЫХ К ОБРАБОТКЕ И ОБЕСПЕЧЕНИЮ БЕЗОПАСНОСТИ ПДН
Ответственный за организацию обработки ПДн (Федеральный закон от
27.07.2006 № 152-ФЗ «О персональных данных» ст. 18.1, ч.1, п.1)
Комиссия по обеспечению безопасности ПДн
функции комиссии:
проведение внутреннего аудита и инвентаризации информационных ресурсов;
определение оценки вреда, который может быть причинен субъектам ПДн;
построение модели угроз безопасности ПДн.
Локальные акты:
Приказ о назначении ответственного за организацию обработки ПДн;
Должностные обязанности ответственного за организацию обработки ПДн;
Приказ о создании комиссии по обеспечению безопасности ПДн;
Положение о комиссии по обеспечению безопасности ПДн.
5. ЗАЩИТА ИНФОРМАЦИИ ПО ПОЛОЧКАМ
ПОЛОЧКА 2. ПОЛИТИКА ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
Определить политику в отношении обработки ПДн (Федеральный закон от
27.07.2006 № 152-ФЗ «О персональных данных» ст. 18.1, ч.1, п.2)
ГОСТ Р ИСО/МЭК 17799-2005 «Информационная технология. Практические правила управления
информационной безопасностью»;
ГОСТ Р ИСО/МЭК 13335-1-2006 «Информационная технология. Методы и средства обеспечения
безопасности. Часть 1. Концепция и модели менеджмента безопасности информационных и
телекоммуникационных технологий»;
ГОСТ Р ИСО/МЭК 13335-3-2007 «Информационная технология. Методы и средства обеспечения
безопасности. Часть 3. Методы менеджмента безопасности информационных технологий»
Данная политика должна быть опубликована или иным способом сделана
общедоступной
Локальные акты:
Политику оператора в отношении обработки и обеспечения безопасности
ПДн;
План мероприятий обеспечению безопасности ПДн (по реализации
политики)
6. ЗАЩИТА ИНФОРМАЦИИ ПО ПОЛОЧКАМ
ПОЛОЧКА 3. АУДИТ, ИНВЕНТАРИЗАЦИЯ И КЛАССИФИКАЦИЯ АКТИВОВ
Все основные информационные активы должны быть учтены и закреплены
за ответственными владельцами (ГОСТ Р ИСО/МЭК 17799-2005 , ГОСТ Р ИСО/МЭК 13335-1-
2006, ГОСТ Р ИСО/МЭК 13335-3-2007)
Локальные акты:
Перечень ПДн с указанием:
– цели обработки и основания для обработки;
– состава ПДн;
– количества субъектов ПДн;
– типа обработки ПДн (автоматизированная, неавтоматизированная, смешанная);
– типа ПДн (специальные, биометрические, общедоступные, иные персональные данные,
персональные данные сотрудников);
– сроков хранения, места обработки (хранения) ПДн.
Перечень лиц, допущенных к обработке ПДн, с указанием к каким ПДн
имеют доступ;
Перечень помещений, в которых ведется обработка ПДн;
Перечень ИСПДн; и прочие.
7. ЗАЩИТА ИНФОРМАЦИИ ПО ПОЛОЧКАМ
ПОЛОЧКА 4. ВЫПОЛНЕНИЕ СПЕЦИФИЧЕСКИХ ТРЕБОВАНИЙ РЕЖИМА ПДН
Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных»;
Постановление Правительства Российской Федерации от 15.09.2008 № 687
«Об утверждении Положения об особенностях обработки персональных
данных, осуществляемой без использования средств автоматизации»;
Постановление Правительства Российской Федерации от 6.06.2008 №512
«Об утверждении требований к материальным носителям биометрических
персональных данных и технологиям хранения таких данных вне
информационных систем персональных данных»
Постановление Правительства Российской Федерации № 211 от 21.03.2012
«Об утверждении перечня мер, направленных на обеспечение выполнения
обязанностей, предусмотренных Федеральным законом «О персональных
данных» и принятыми в соответствии с ним нормативными правовыми
актами, операторами, являющимися государственными или
муниципальными органами»
8. ЗАЩИТА ИНФОРМАЦИИ ПО ПОЛОЧКАМ
ПОЛОЧКА 4. ВЫПОЛНЕНИЕ СПЕЦИФИЧЕСКИХ ТРЕБОВАНИЙ РЕЖИМА ПДН
Локальные акты:
Положение о порядке обработки ПДн;
Регламент рассмотрения запросов субъектов ПДн или их представителей с типовыми
формами запросов и ответов;
Журнал учета запросов субъектов ПДн;
Уведомление о намерении осуществлять обработку ПДн;
Типовые формы согласий на обработку ПДн (субъекта, представителя субъекта) для
каждой цели обработки;
Типовой раздел для договоров с третьими лицами о соблюдение
конфиденциальности ПДн;
Типовая форма разъяснения субъекту ПДН юридических последствий отказа
предоставить свои ПДн;
Порядок обработки ПДн без использования средств автоматизации;
Типовые формы документов, содержащих ПДн;
Порядок работы с обезличенными данными;
Перечень должностей служащих государственного или муниципального органа,
ответственных за проведение мероприятий по обезличиванию обрабатываемых ПДн;
Порядок обращения с биометрическими ПДн;
Журнал учета материальных носителей с биометрическими ПДн; и д.р.
9. ЗАЩИТА ИНФОРМАЦИИ ПО ПОЛОЧКАМ
ПОЛОЧКА 5. ОЦЕНКА ВРЕДА, ОПРЕДЕЛЕНИЕ УГРОЗ БЕЗОПАСНОСТИ И
НЕОБХОДИМОГО УРОВНЯ ЗАЩИЩЕННОСТИ
В соответствии с Федерального закона «О персональных данных» оператор
обязан провести:
оценку вреда, который может быть причинен субъектам ПДн в случае
нарушения закона, соотношение указанного вреда и принимаемых
оператором мер, направленных на обеспечение выполнения обязанностей,
предусмотренных законом;
определение угроз безопасности ПДн при их обработке в ИСПДн;
определение необходимого уровня защищенности ПДн.
10. ЗАЩИТА ИНФОРМАЦИИ ПО ПОЛОЧКАМ
ПОЛОЧКА 5. ОЦЕНКА ВРЕДА, ОПРЕДЕЛЕНИЕ УГРОЗ БЕЗОПАСНОСТИ И
НЕОБХОДИМОГО УРОВНЯ ЗАЩИЩЕННОСТИ
ГОСТ Р 51901.1-2002
«Менеджмент риска. Анализ
риска технологических систем»;
ГОСТ Р ИСО/МЭК 27005-2010 –
«Информационная технология.
Методы и средства обеспечения
безопасности. Менеджмент риска
информационной безопасности».
11. ЗАЩИТА ИНФОРМАЦИИ ПО ПОЛОЧКАМ
ПОЛОЧКА 5. ОЦЕНКА ВРЕДА, ОПРЕДЕЛЕНИЕ УГРОЗ БЕЗОПАСНОСТИ И
НЕОБХОДИМОГО УРОВНЯ ЗАЩИЩЕННОСТИ
Для определения актуальных угроз безопасности ПДн, оператором проводится
разработка модели угроз безопасности ПДн в соответствии с существующими
методиками и государственными стандартами.
Базовая модель угроз безопасности персональных данных при их обработке в
информационных системах персональных данных (выписка). ФСТЭК России
Методика определения актуальных угроз безопасности персональных данных при их
обработке в информационных системах персональных данных ФСТЭК России
Отраслевая модель угроз безопасности персональных данных при их обработке в
информационных системах персональных данных Операторов связи
РС БР ИББС -2.4-2010 - Обеспечение информационной безопасности организаций банковской
системы Российской Федерации. Отраслевая частная модель угроз безопасности персональных
данных при их обработке в информационных системах персональных данных
ГОСТ Р ИСО/МЭК 27005-2010 – «Информационная технология. Методы и средства обеспечения
безопасности. Менеджмент риска информационной безопасности».
ГОСТ Р ИСО/МЭК 13335-3-2007 «Информационная технология. Методы и средства обеспечения
безопасности. Часть 3. Методы менеджмента безопасности информационных технологий»
12. ЗАЩИТА ИНФОРМАЦИИ ПО ПОЛОЧКАМ
ПОЛОЧКА 5. ОЦЕНКА ВРЕДА, ОПРЕДЕЛЕНИЕ УГРОЗ БЕЗОПАСНОСТИ И
НЕОБХОДИМОГО УРОВНЯ ЗАЩИЩЕННОСТИ
Постановление Правительства РФ от 1 ноября 2012 г. №1119 «Об
утверждении требований к защите персональных данных при их обработке в
информационных системах персональных данных»
13. ЗАЩИТА ИНФОРМАЦИИ ПО ПОЛОЧКАМ
ПОЛОЧКА 5. ОЦЕНКА ВРЕДА, ОПРЕДЕЛЕНИЕ УГРОЗ БЕЗОПАСНОСТИ И
НЕОБХОДИМОГО УРОВНЯ ЗАЩИЩЕННОСТИ
Локальные акты:
Протокол (акт, отчет) оценки вреда, который может быть причинен
субъектам ПДн ;
Частная модель угроз безопасности ПДн (как правило для каждой ИСПДн);
Акт определения уровня защищенности ПДн при их обработке в ИСПДн.
14. ЗАЩИТА ИНФОРМАЦИИ ПО ПОЛОЧКАМ
ПОЛОЧКА 6. ОПРЕДЕЛЕНИЕ ЗАЩИТНЫХ МЕР
Постановление Правительства РФ от 1 ноября 2012 г. №1119
Нормативные документы ФСТЭК России и ФСБ России
ГОСТ Р ИСО/МЭК ТО 13335-4-2007 «Информационная технология. Методы и
средства обеспечения безопасности. Часть 4. Выбор защитных мер».
Информационное письмо ФСТЭК России «Об особенностях защиты ПДн при
их обработке в ИСПДн и сертификации СЗИ, предназначенных для защиты
ПДн» от 20 ноября 2012 г. № 240/24/4669
Локальные акты:
Техническое задание на создание системы защиты ПДн (СЗПДн);
Технический проект СЗПДн.
• ГОСТ Р 51583-2000. «Порядок создания автоматизированных систем в защищённом исполнении.
• ГОСТ Р 51624-2000. «Автоматизированные системы в защищённом исполнении. Общие требования»;
• ГОСТ 34.201 «Виды, комплектность и обозначение документов при создании автоматизированных систем»;
• ГОСТ 34.601 «Информационная технология. Автоматизированные системы. Стадии создания».;
• РД 50-34.698-90 «Автоматизированные системы. Требования к содержанию документов».
15. ЗАЩИТА ИНФОРМАЦИИ ПО ПОЛОЧКАМ
ПОЛОЧКА 7. ПЕРСОНАЛ. ОБЯЗАННОСТИ. ОТВЕТСТВЕННОСТЬ.
Следует определить обязанности по защите отдельных активов и по
выполнению конкретных процедур, связанных с информационной
безопасностью
Кроме этого, должна быть четко определена конкретная персональная
ответственность в отношении отдельных материальных и информационных
активов и процессов, связанных с информационной безопасностью.
Ответственные сотрудники должны иметь достаточную квалификацию.
При необходимости следует организовать их обучение.
Должны быть разработаны и утверждены должностные обязанности,
инструкции, приказы связанные с обеспечением безопасности ПДн
16. ЗАЩИТА ИНФОРМАЦИИ ПО ПОЛОЧКАМ
ПОЛОЧКА 7. ПЕРСОНАЛ. ОБЯЗАННОСТИ. ОТВЕТСТВЕННОСТЬ.
Локальные акты:
Приказ о допуске сотрудников к обработке ПДн;
Должностные инструкции сотрудников, обрабатывающих ПДн
Приказ о назначение ответственного за обеспечение безопасности ПДн и его
должностные обязанности;
Приказ о назначение администратора безопасности и его должностные
обязанности;
Приказ о назначение администратора ИСПДн и его должностные обязанности;
Перечень лиц допущенных в помещения, где ведется обработка ПДн;
Инструкция о порядке использования СКЗИ;
Приказ о назначении ответственного за СКЗИ;
Перечень лиц допущенных к работе с СКЗИ;
Обязательство о неразглашении информации для сотрудников;
Регламент проведения инструктажа по информационной безопасности;
Журнал учета инструктажа сотрудников по вопросам обработки и обеспечению
безопасности ПДн; и д.р.
17. ЗАЩИТА ИНФОРМАЦИИ ПО ПОЛОЧКАМ
ПОЛОЧКА 8. РЕАЛИЗАЦИЯ ЗАЩИТНЫХ МЕР. ВНЕДРЕНИЕ СИСТЕМЫ ЗАЩИТЫ
ИНФОРМАЦИИ.
Проводятся мероприятия по установке и настройке средств защиты
информации, внедрение организационных мер, положений, регламентов,
инструкций и журналов
Локальные акты:
Положения о пропускном режиме и о контролируемой зоне;
Порядок доступа в помещения;
Положения (инструкции) об антивирусной защите, о парольной защите;
Регламент резервного копирования и восстановления;
Журнал учета носителей ПДн;
Регламент предоставления и изменения прав доступа к ресурсам и матрица доступа;
Порядок учета и журнал учета СЗИ;
Порядок учета, хранения, уничтожения документов и электронных носителей
содержащих ПДн;
Инструкция по работе в сетях общего пользования;
Технический паспорт на каждую ИСПДн;
Акты установки СЗИ;
Приказы о вводе в эксплуатация ИСПДн и СЗПДн
и др.
18. ЗАЩИТА ИНФОРМАЦИИ ПО ПОЛОЧКАМ
ПОЛОЧКА 9. КОНТРОЛЬ
В организации должен осуществляться контроль за принимаемыми мерами по
обеспечению безопасности ПДн и установленным уровнем защищенности
ИСПДн.
Периодичность проведения контроля выбирается в зависимости от
объективных факторов, но, как правило, не реже 1-го раза в год
В соответствии с п.17 Постановления Правительства РФ от 1 ноября 2012 г.
№1119, не реже 1 раза в 3 года оператором самостоятельно и (или) с
привлечением на договорной основе организаций, имеющих лицензию на
осуществление деятельности по ТЗКИ организуется и проводится контроль за
выполнением требований указанного постановления
Локальные акты:
Положение (Инструкция) о порядке проведения внутреннего контроля;
Журнал учета мероприятий по контролю;
19. ЗАЩИТА ИНФОРМАЦИИ ПО ПОЛОЧКАМ
ПОЛОЧКА 10 КОРРЕКТИРОВКА ПРИНЯТЫХ МЕР ИЛИ ВСЕ СНАЧАЛА
С целью поддержания работоспособности системы защиты информации
необходимо:
вносить изменения в приказы и перечни в связи с кадровыми
перестановками;
проводить мониторинг изменений законодательства в сфере ПДн и защиты
информации;
вносить изменения в организационные, технические и проектные
документы, в связи с изменением структуры данных или информационных
систем;
ежегодно проводить повторный аудит и инвентаризацию.
ГОСТ Р ИСО/МЭК 27001-2006- «Информационная технология. Методы и
средства обеспечения безопасности. Системы менеджмента информационной
безопасности. Требования»
20. ООО «Смолтелеком» осуществляет весь спектр работ по защите
информации:
Аудит организаций и информационных систем
Разработка локальных документов для выполнения требований ФЗ №152
Разработка технический проектов систем защиты информации
Оценка вреда субъекту персональных данных
Модель угроз безопасности
Настройка и внедрение средств защиты информации
Аттестация информационных систем с конфиденциальной информацией
Аутсорсинг и полное сопровождение безопасности организаций
ЗАЩИТА ИНФОРМАЦИИ ПО ПОЛОЧКАМ
Лицензия ФСТЭК России КИ 0079 003948
Лицензия ФСБ России ЛСЗ 0002555
21. СПАСИБО ЗА ВНИМАНИЕ
ООО «Смолтелеком»
Отдел защищенного электронного документооборота
www.smoltelecom.ru
(4812) 32-88-01