SlideShare a Scribd company logo

Fomchenkov

Download as PPTX, PDF
A
AKlimchuk
1 of 21
ЗАЩИТА ИНФОРМАЦИИ ПО ПОЛОЧКАМ ООО «Смолтелеком» Фомченков Сергей
ЗАЩИТА ИНФОРМАЦИИ ПО ПОЛОЧКАМ  Федеральный закон от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации»  Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных»  Нормативные, руководящие и методических документах ФСТЭК России  Нормативные, руководящие и методических документах и ФСБ России  Государственные стандарты Законодательство в сфере защиты информации
ЗАЩИТА ИНФОРМАЦИИ ПО ПОЛОЧКАМ  КАК ОРГАНИЗОВАТЬ МЕРОПРИЯТИЯ ПО ЗАЩИТЕ ИНФОРМАЦИИ?  КАКИЕ НЕОБХОДИМО ПРИНЯТЬ МЕРЫ?  С ЧЕГО НАЧАТЬ?
ЗАЩИТА ИНФОРМАЦИИ ПО ПОЛОЧКАМ ПОЛОЧКА 1. ОПРЕДЕЛЕНИЕ ЛИЦ, ОТВЕЧАЮЩИХ ЗА ВЫПОЛНЕНИЕ ТРЕБОВАНИЙ УСТАНОВЛЕННЫХ К ОБРАБОТКЕ И ОБЕСПЕЧЕНИЮ БЕЗОПАСНОСТИ ПДН  Ответственный за организацию обработки ПДн (Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных» ст. 18.1, ч.1, п.1)  Комиссия по обеспечению безопасности ПДн функции комиссии:  проведение внутреннего аудита и инвентаризации информационных ресурсов;  определение оценки вреда, который может быть причинен субъектам ПДн;  построение модели угроз безопасности ПДн. Локальные акты:  Приказ о назначении ответственного за организацию обработки ПДн;  Должностные обязанности ответственного за организацию обработки ПДн;  Приказ о создании комиссии по обеспечению безопасности ПДн;  Положение о комиссии по обеспечению безопасности ПДн.
ЗАЩИТА ИНФОРМАЦИИ ПО ПОЛОЧКАМ ПОЛОЧКА 2. ПОЛИТИКА ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ  Определить политику в отношении обработки ПДн (Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных» ст. 18.1, ч.1, п.2)  ГОСТ Р ИСО/МЭК 17799-2005 «Информационная технология. Практические правила управления информационной безопасностью»;  ГОСТ Р ИСО/МЭК 13335-1-2006 «Информационная технология. Методы и средства обеспечения безопасности. Часть 1. Концепция и модели менеджмента безопасности информационных и телекоммуникационных технологий»;  ГОСТ Р ИСО/МЭК 13335-3-2007 «Информационная технология. Методы и средства обеспечения безопасности. Часть 3. Методы менеджмента безопасности информационных технологий»  Данная политика должна быть опубликована или иным способом сделана общедоступной Локальные акты:  Политику оператора в отношении обработки и обеспечения безопасности ПДн;  План мероприятий обеспечению безопасности ПДн (по реализации политики)
ЗАЩИТА ИНФОРМАЦИИ ПО ПОЛОЧКАМ ПОЛОЧКА 3. АУДИТ, ИНВЕНТАРИЗАЦИЯ И КЛАССИФИКАЦИЯ АКТИВОВ  Все основные информационные активы должны быть учтены и закреплены за ответственными владельцами (ГОСТ Р ИСО/МЭК 17799-2005 , ГОСТ Р ИСО/МЭК 13335-1- 2006, ГОСТ Р ИСО/МЭК 13335-3-2007) Локальные акты:  Перечень ПДн с указанием: – цели обработки и основания для обработки; – состава ПДн; – количества субъектов ПДн; – типа обработки ПДн (автоматизированная, неавтоматизированная, смешанная); – типа ПДн (специальные, биометрические, общедоступные, иные персональные данные, персональные данные сотрудников); – сроков хранения, места обработки (хранения) ПДн.  Перечень лиц, допущенных к обработке ПДн, с указанием к каким ПДн имеют доступ;  Перечень помещений, в которых ведется обработка ПДн;  Перечень ИСПДн; и прочие.
ЗАЩИТА ИНФОРМАЦИИ ПО ПОЛОЧКАМ ПОЛОЧКА 4. ВЫПОЛНЕНИЕ СПЕЦИФИЧЕСКИХ ТРЕБОВАНИЙ РЕЖИМА ПДН  Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных»;  Постановление Правительства Российской Федерации от 15.09.2008 № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»;  Постановление Правительства Российской Федерации от 6.06.2008 №512 «Об утверждении требований к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных»  Постановление Правительства Российской Федерации № 211 от 21.03.2012 «Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами»
ЗАЩИТА ИНФОРМАЦИИ ПО ПОЛОЧКАМ ПОЛОЧКА 4. ВЫПОЛНЕНИЕ СПЕЦИФИЧЕСКИХ ТРЕБОВАНИЙ РЕЖИМА ПДН Локальные акты:  Положение о порядке обработки ПДн;  Регламент рассмотрения запросов субъектов ПДн или их представителей с типовыми формами запросов и ответов;  Журнал учета запросов субъектов ПДн;  Уведомление о намерении осуществлять обработку ПДн;  Типовые формы согласий на обработку ПДн (субъекта, представителя субъекта) для каждой цели обработки;  Типовой раздел для договоров с третьими лицами о соблюдение конфиденциальности ПДн;  Типовая форма разъяснения субъекту ПДН юридических последствий отказа предоставить свои ПДн;  Порядок обработки ПДн без использования средств автоматизации;  Типовые формы документов, содержащих ПДн;  Порядок работы с обезличенными данными;  Перечень должностей служащих государственного или муниципального органа, ответственных за проведение мероприятий по обезличиванию обрабатываемых ПДн;  Порядок обращения с биометрическими ПДн;  Журнал учета материальных носителей с биометрическими ПДн; и д.р.
ЗАЩИТА ИНФОРМАЦИИ ПО ПОЛОЧКАМ ПОЛОЧКА 5. ОЦЕНКА ВРЕДА, ОПРЕДЕЛЕНИЕ УГРОЗ БЕЗОПАСНОСТИ И НЕОБХОДИМОГО УРОВНЯ ЗАЩИЩЕННОСТИ В соответствии с Федерального закона «О персональных данных» оператор обязан провести:  оценку вреда, который может быть причинен субъектам ПДн в случае нарушения закона, соотношение указанного вреда и принимаемых оператором мер, направленных на обеспечение выполнения обязанностей, предусмотренных законом;  определение угроз безопасности ПДн при их обработке в ИСПДн;  определение необходимого уровня защищенности ПДн.
ЗАЩИТА ИНФОРМАЦИИ ПО ПОЛОЧКАМ ПОЛОЧКА 5. ОЦЕНКА ВРЕДА, ОПРЕДЕЛЕНИЕ УГРОЗ БЕЗОПАСНОСТИ И НЕОБХОДИМОГО УРОВНЯ ЗАЩИЩЕННОСТИ  ГОСТ Р 51901.1-2002 «Менеджмент риска. Анализ риска технологических систем»;  ГОСТ Р ИСО/МЭК 27005-2010 – «Информационная технология. Методы и средства обеспечения безопасности. Менеджмент риска информационной безопасности».
ЗАЩИТА ИНФОРМАЦИИ ПО ПОЛОЧКАМ ПОЛОЧКА 5. ОЦЕНКА ВРЕДА, ОПРЕДЕЛЕНИЕ УГРОЗ БЕЗОПАСНОСТИ И НЕОБХОДИМОГО УРОВНЯ ЗАЩИЩЕННОСТИ Для определения актуальных угроз безопасности ПДн, оператором проводится разработка модели угроз безопасности ПДн в соответствии с существующими методиками и государственными стандартами.  Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных (выписка). ФСТЭК России  Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных ФСТЭК России  Отраслевая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных Операторов связи  РС БР ИББС -2.4-2010 - Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Отраслевая частная модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных  ГОСТ Р ИСО/МЭК 27005-2010 – «Информационная технология. Методы и средства обеспечения безопасности. Менеджмент риска информационной безопасности».  ГОСТ Р ИСО/МЭК 13335-3-2007 «Информационная технология. Методы и средства обеспечения безопасности. Часть 3. Методы менеджмента безопасности информационных технологий»
ЗАЩИТА ИНФОРМАЦИИ ПО ПОЛОЧКАМ ПОЛОЧКА 5. ОЦЕНКА ВРЕДА, ОПРЕДЕЛЕНИЕ УГРОЗ БЕЗОПАСНОСТИ И НЕОБХОДИМОГО УРОВНЯ ЗАЩИЩЕННОСТИ Постановление Правительства РФ от 1 ноября 2012 г. №1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»
ЗАЩИТА ИНФОРМАЦИИ ПО ПОЛОЧКАМ ПОЛОЧКА 5. ОЦЕНКА ВРЕДА, ОПРЕДЕЛЕНИЕ УГРОЗ БЕЗОПАСНОСТИ И НЕОБХОДИМОГО УРОВНЯ ЗАЩИЩЕННОСТИ Локальные акты:  Протокол (акт, отчет) оценки вреда, который может быть причинен субъектам ПДн ;  Частная модель угроз безопасности ПДн (как правило для каждой ИСПДн);  Акт определения уровня защищенности ПДн при их обработке в ИСПДн.
ЗАЩИТА ИНФОРМАЦИИ ПО ПОЛОЧКАМ ПОЛОЧКА 6. ОПРЕДЕЛЕНИЕ ЗАЩИТНЫХ МЕР  Постановление Правительства РФ от 1 ноября 2012 г. №1119  Нормативные документы ФСТЭК России и ФСБ России  ГОСТ Р ИСО/МЭК ТО 13335-4-2007 «Информационная технология. Методы и средства обеспечения безопасности. Часть 4. Выбор защитных мер».  Информационное письмо ФСТЭК России «Об особенностях защиты ПДн при их обработке в ИСПДн и сертификации СЗИ, предназначенных для защиты ПДн» от 20 ноября 2012 г. № 240/24/4669 Локальные акты:  Техническое задание на создание системы защиты ПДн (СЗПДн);  Технический проект СЗПДн. • ГОСТ Р 51583-2000. «Порядок создания автоматизированных систем в защищённом исполнении. • ГОСТ Р 51624-2000. «Автоматизированные системы в защищённом исполнении. Общие требования»; • ГОСТ 34.201 «Виды, комплектность и обозначение документов при создании автоматизированных систем»; • ГОСТ 34.601 «Информационная технология. Автоматизированные системы. Стадии создания».; • РД 50-34.698-90 «Автоматизированные системы. Требования к содержанию документов».
ЗАЩИТА ИНФОРМАЦИИ ПО ПОЛОЧКАМ ПОЛОЧКА 7. ПЕРСОНАЛ. ОБЯЗАННОСТИ. ОТВЕТСТВЕННОСТЬ.  Следует определить обязанности по защите отдельных активов и по выполнению конкретных процедур, связанных с информационной безопасностью  Кроме этого, должна быть четко определена конкретная персональная ответственность в отношении отдельных материальных и информационных активов и процессов, связанных с информационной безопасностью.  Ответственные сотрудники должны иметь достаточную квалификацию.  При необходимости следует организовать их обучение.  Должны быть разработаны и утверждены должностные обязанности, инструкции, приказы связанные с обеспечением безопасности ПДн
ЗАЩИТА ИНФОРМАЦИИ ПО ПОЛОЧКАМ ПОЛОЧКА 7. ПЕРСОНАЛ. ОБЯЗАННОСТИ. ОТВЕТСТВЕННОСТЬ. Локальные акты:  Приказ о допуске сотрудников к обработке ПДн;  Должностные инструкции сотрудников, обрабатывающих ПДн  Приказ о назначение ответственного за обеспечение безопасности ПДн и его должностные обязанности;  Приказ о назначение администратора безопасности и его должностные обязанности;  Приказ о назначение администратора ИСПДн и его должностные обязанности;  Перечень лиц допущенных в помещения, где ведется обработка ПДн;  Инструкция о порядке использования СКЗИ;  Приказ о назначении ответственного за СКЗИ;  Перечень лиц допущенных к работе с СКЗИ;  Обязательство о неразглашении информации для сотрудников;  Регламент проведения инструктажа по информационной безопасности;  Журнал учета инструктажа сотрудников по вопросам обработки и обеспечению безопасности ПДн; и д.р.
ЗАЩИТА ИНФОРМАЦИИ ПО ПОЛОЧКАМ ПОЛОЧКА 8. РЕАЛИЗАЦИЯ ЗАЩИТНЫХ МЕР. ВНЕДРЕНИЕ СИСТЕМЫ ЗАЩИТЫ ИНФОРМАЦИИ. Проводятся мероприятия по установке и настройке средств защиты информации, внедрение организационных мер, положений, регламентов, инструкций и журналов Локальные акты:  Положения о пропускном режиме и о контролируемой зоне;  Порядок доступа в помещения;  Положения (инструкции) об антивирусной защите, о парольной защите;  Регламент резервного копирования и восстановления;  Журнал учета носителей ПДн;  Регламент предоставления и изменения прав доступа к ресурсам и матрица доступа;  Порядок учета и журнал учета СЗИ;  Порядок учета, хранения, уничтожения документов и электронных носителей содержащих ПДн;  Инструкция по работе в сетях общего пользования;  Технический паспорт на каждую ИСПДн;  Акты установки СЗИ;  Приказы о вводе в эксплуатация ИСПДн и СЗПДн  и др.
ЗАЩИТА ИНФОРМАЦИИ ПО ПОЛОЧКАМ ПОЛОЧКА 9. КОНТРОЛЬ В организации должен осуществляться контроль за принимаемыми мерами по обеспечению безопасности ПДн и установленным уровнем защищенности ИСПДн. Периодичность проведения контроля выбирается в зависимости от объективных факторов, но, как правило, не реже 1-го раза в год В соответствии с п.17 Постановления Правительства РФ от 1 ноября 2012 г. №1119, не реже 1 раза в 3 года оператором самостоятельно и (или) с привлечением на договорной основе организаций, имеющих лицензию на осуществление деятельности по ТЗКИ организуется и проводится контроль за выполнением требований указанного постановления Локальные акты:  Положение (Инструкция) о порядке проведения внутреннего контроля;  Журнал учета мероприятий по контролю;
ЗАЩИТА ИНФОРМАЦИИ ПО ПОЛОЧКАМ ПОЛОЧКА 10 КОРРЕКТИРОВКА ПРИНЯТЫХ МЕР ИЛИ ВСЕ СНАЧАЛА С целью поддержания работоспособности системы защиты информации необходимо:  вносить изменения в приказы и перечни в связи с кадровыми перестановками;  проводить мониторинг изменений законодательства в сфере ПДн и защиты информации;  вносить изменения в организационные, технические и проектные документы, в связи с изменением структуры данных или информационных систем;  ежегодно проводить повторный аудит и инвентаризацию. ГОСТ Р ИСО/МЭК 27001-2006- «Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования»
ООО «Смолтелеком» осуществляет весь спектр работ по защите информации:  Аудит организаций и информационных систем  Разработка локальных документов для выполнения требований ФЗ №152  Разработка технический проектов систем защиты информации  Оценка вреда субъекту персональных данных  Модель угроз безопасности  Настройка и внедрение средств защиты информации  Аттестация информационных систем с конфиденциальной информацией  Аутсорсинг и полное сопровождение безопасности организаций ЗАЩИТА ИНФОРМАЦИИ ПО ПОЛОЧКАМ Лицензия ФСТЭК России КИ 0079 003948 Лицензия ФСБ России ЛСЗ 0002555
СПАСИБО ЗА ВНИМАНИЕ ООО «Смолтелеком» Отдел защищенного электронного документооборота www.smoltelecom.ru (4812) 32-88-01

Recommended

17 приказ ФСТЭК
17 приказ ФСТЭК17 приказ ФСТЭК
17 приказ ФСТЭКАлексей Кураленко
 
Защита персональных данных
Защита персональных данныхЗащита персональных данных
Защита персональных данныхАлексей Кураленко
 
Защита ГИС
Защита ГИСЗащита ГИС
Защита ГИСАлексей Кураленко
 
пр мастер класс по пдн 2014-04
пр мастер класс по пдн 2014-04пр мастер класс по пдн 2014-04
пр мастер класс по пдн 2014-04Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Защита персональных данных
Защита персональных данныхЗащита персональных данных
Защита персональных данныхУчебный центр "Эшелон"
 
Нормативная база ИБ (кво, ксии, кии, асу)
Нормативная база ИБ (кво, ксии, кии, асу)Нормативная база ИБ (кво, ксии, кии, асу)
Нормативная база ИБ (кво, ксии, кии, асу)Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Защита персональных данных. Презентация с вебинара 29.11.2012
Защита персональных данных. Презентация с вебинара 29.11.2012Защита персональных данных. Презентация с вебинара 29.11.2012
Защита персональных данных. Презентация с вебинара 29.11.2012LETA IT-company
 
Презентация ГЭНДАЛЬФ подключение к РЦОИ
Презентация ГЭНДАЛЬФ подключение к РЦОИ Презентация ГЭНДАЛЬФ подключение к РЦОИ
Презентация ГЭНДАЛЬФ подключение к РЦОИ «ГК ГЭНДАЛЬФ»
 

Recommended

17 приказ ФСТЭК
17 приказ ФСТЭК17 приказ ФСТЭК
17 приказ ФСТЭКАлексей Кураленко
 
Защита персональных данных
Защита персональных данныхЗащита персональных данных
Защита персональных данныхАлексей Кураленко
 
Защита ГИС
Защита ГИСЗащита ГИС
Защита ГИСАлексей Кураленко
 
пр мастер класс по пдн 2014-04
пр мастер класс по пдн 2014-04пр мастер класс по пдн 2014-04
пр мастер класс по пдн 2014-04Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Защита персональных данных
Защита персональных данныхЗащита персональных данных
Защита персональных данныхУчебный центр "Эшелон"
 
Нормативная база ИБ (кво, ксии, кии, асу)
Нормативная база ИБ (кво, ксии, кии, асу)Нормативная база ИБ (кво, ксии, кии, асу)
Нормативная база ИБ (кво, ксии, кии, асу)Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Защита персональных данных. Презентация с вебинара 29.11.2012
Защита персональных данных. Презентация с вебинара 29.11.2012Защита персональных данных. Презентация с вебинара 29.11.2012
Защита персональных данных. Презентация с вебинара 29.11.2012LETA IT-company
 
Презентация ГЭНДАЛЬФ подключение к РЦОИ
Презентация ГЭНДАЛЬФ подключение к РЦОИ Презентация ГЭНДАЛЬФ подключение к РЦОИ
Презентация ГЭНДАЛЬФ подключение к РЦОИ «ГК ГЭНДАЛЬФ»
 
Техническая защита персональных данных в Беларуси (Версия 2)
Техническая защита персональных данных в Беларуси (Версия 2)Техническая защита персональных данных в Беларуси (Версия 2)
Техническая защита персональных данных в Беларуси (Версия 2)Вячеслав Аксёнов
 
Какие дополнительные сведения операторы ПДн обязаны были предоставить в Роско...
Какие дополнительные сведения операторы ПДн обязаны были предоставить в Роско...Какие дополнительные сведения операторы ПДн обязаны были предоставить в Роско...
Какие дополнительные сведения операторы ПДн обязаны были предоставить в Роско...Константин Бажин
 
Information Security Legislations (BY)
Information Security Legislations (BY)Information Security Legislations (BY)
Information Security Legislations (BY)Вячеслав Аксёнов
 
Защита персональных данных в информационных системах
Защита персональных данных в информационных системахЗащита персональных данных в информационных системах
Защита персональных данных в информационных системахDimOK AD
 
Состав и содержание мер по обеспечению безопасности персональных данных
Состав и содержание мер по обеспечению безопасности персональных данныхСостав и содержание мер по обеспечению безопасности персональных данных
Состав и содержание мер по обеспечению безопасности персональных данныхПавел Семченко
 
Лицензирование в области ИБ
Лицензирование в области ИБЛицензирование в области ИБ
Лицензирование в области ИБАлексей Кураленко
 
Информационная безопасность. Лекция 5.
Информационная безопасность. Лекция 5.Информационная безопасность. Лекция 5.
Информационная безопасность. Лекция 5.Александр Лысяк
 
Защита критически важных объектов
Защита критически важных объектовЗащита критически важных объектов
Защита критически важных объектовАлексей Кураленко
 
Информационная безопасность бизнеса
Информационная безопасность бизнесаИнформационная безопасность бизнеса
Информационная безопасность бизнесаDmitri Budaev
 
Техническая защита персональных данных в Беларуси
Техническая защита персональных данных в БеларусиТехническая защита персональных данных в Беларуси
Техническая защита персональных данных в БеларусиВячеслав Аксёнов
 
Вводная лекция по ОПОИБ
Вводная лекция по ОПОИБВводная лекция по ОПОИБ
Вводная лекция по ОПОИБАлексей Кураленко
 
Risks of non-compliance with regulatory requirements
Risks of non-compliance with regulatory requirementsRisks of non-compliance with regulatory requirements
Risks of non-compliance with regulatory requirementsВячеслав Аксёнов
 
Softline: защита персональных данных
Softline: защита персональных данныхSoftline: защита персональных данных
Softline: защита персональных данныхSoftline
 
защита персональных данных
защита персональных данныхзащита персональных данных
защита персональных данныхСергей Сергеев
 
ISMS audit and implementation
ISMS audit and implementationISMS audit and implementation
ISMS audit and implementationВячеслав Аксёнов
 
Legislation and Responsibility (VMUG #7 Belarus)
Legislation and Responsibility (VMUG #7 Belarus)Legislation and Responsibility (VMUG #7 Belarus)
Legislation and Responsibility (VMUG #7 Belarus)Вячеслав Аксёнов
 
Ксения Шудрова - Защита персональных данных
Ксения Шудрова - Защита персональных данныхКсения Шудрова - Защита персональных данных
Ксения Шудрова - Защита персональных данныхKsenia Shudrova
 
Создание СУИБ в организации на примере 5 реализованных проектов LETA 2010-201...
Создание СУИБ в организации на примере 5 реализованных проектов LETA 2010-201...Создание СУИБ в организации на примере 5 реализованных проектов LETA 2010-201...
Создание СУИБ в организации на примере 5 реализованных проектов LETA 2010-201...LETA IT-company
 
Внедрение СУИБ на основе ISO/IEC 27001
Внедрение СУИБ на основе ISO/IEC 27001Внедрение СУИБ на основе ISO/IEC 27001
Внедрение СУИБ на основе ISO/IEC 27001Dmitry Savchenko
 
Методологии аудита информационной безопасности
Методологии аудита информационной безопасностиМетодологии аудита информационной безопасности
Методологии аудита информационной безопасностиPositive Hack Days
 
Практические аспекты проведения аудита информационной безопасности компании 2...
Практические аспекты проведения аудита информационной безопасности компании 2...Практические аспекты проведения аудита информационной безопасности компании 2...
Практические аспекты проведения аудита информационной безопасности компании 2...DialogueScience
 
Аудит СУИБ
Аудит СУИБАудит СУИБ
Аудит СУИБAlexander Dorofeev
 

More Related Content

What's hot

Техническая защита персональных данных в Беларуси (Версия 2)
Техническая защита персональных данных в Беларуси (Версия 2)Техническая защита персональных данных в Беларуси (Версия 2)
Техническая защита персональных данных в Беларуси (Версия 2)Вячеслав Аксёнов
 
Какие дополнительные сведения операторы ПДн обязаны были предоставить в Роско...
Какие дополнительные сведения операторы ПДн обязаны были предоставить в Роско...Какие дополнительные сведения операторы ПДн обязаны были предоставить в Роско...
Какие дополнительные сведения операторы ПДн обязаны были предоставить в Роско...Константин Бажин
 
Защита персональных данных в информационных системах
Защита персональных данных в информационных системахЗащита персональных данных в информационных системах
Защита персональных данных в информационных системахDimOK AD
 
Состав и содержание мер по обеспечению безопасности персональных данных
Состав и содержание мер по обеспечению безопасности персональных данныхСостав и содержание мер по обеспечению безопасности персональных данных
Состав и содержание мер по обеспечению безопасности персональных данныхПавел Семченко
 
Информационная безопасность. Лекция 5.
Информационная безопасность. Лекция 5.Информационная безопасность. Лекция 5.
Информационная безопасность. Лекция 5.Александр Лысяк
 
Защита критически важных объектов
Защита критически важных объектовЗащита критически важных объектов
Защита критически важных объектовАлексей Кураленко
 
Информационная безопасность бизнеса
Информационная безопасность бизнесаИнформационная безопасность бизнеса
Информационная безопасность бизнесаDmitri Budaev
 
Техническая защита персональных данных в Беларуси
Техническая защита персональных данных в БеларусиТехническая защита персональных данных в Беларуси
Техническая защита персональных данных в БеларусиВячеслав Аксёнов
 
Softline: защита персональных данных
Softline: защита персональных данныхSoftline: защита персональных данных
Softline: защита персональных данныхSoftline
 
защита персональных данных
защита персональных данныхзащита персональных данных
защита персональных данныхСергей Сергеев
 
Ксения Шудрова - Защита персональных данных
Ксения Шудрова - Защита персональных данныхКсения Шудрова - Защита персональных данных
Ксения Шудрова - Защита персональных данныхKsenia Shudrova
 

What's hot (17)

Техническая защита персональных данных в Беларуси (Версия 2)
Техническая защита персональных данных в Беларуси (Версия 2)Техническая защита персональных данных в Беларуси (Версия 2)
Техническая защита персональных данных в Беларуси (Версия 2)
 
Какие дополнительные сведения операторы ПДн обязаны были предоставить в Роско...
Какие дополнительные сведения операторы ПДн обязаны были предоставить в Роско...Какие дополнительные сведения операторы ПДн обязаны были предоставить в Роско...
Какие дополнительные сведения операторы ПДн обязаны были предоставить в Роско...
 
Information Security Legislations (BY)
Information Security Legislations (BY)Information Security Legislations (BY)
Information Security Legislations (BY)
 
Защита персональных данных в информационных системах
Защита персональных данных в информационных системахЗащита персональных данных в информационных системах
Защита персональных данных в информационных системах
 
Состав и содержание мер по обеспечению безопасности персональных данных
Состав и содержание мер по обеспечению безопасности персональных данныхСостав и содержание мер по обеспечению безопасности персональных данных
Состав и содержание мер по обеспечению безопасности персональных данных
 
Лицензирование в области ИБ
Лицензирование в области ИБЛицензирование в области ИБ
Лицензирование в области ИБ
 
Информационная безопасность. Лекция 5.
Информационная безопасность. Лекция 5.Информационная безопасность. Лекция 5.
Информационная безопасность. Лекция 5.
 
Защита критически важных объектов
Защита критически важных объектовЗащита критически важных объектов
Защита критически важных объектов
 
Информационная безопасность бизнеса
Информационная безопасность бизнесаИнформационная безопасность бизнеса
Информационная безопасность бизнеса
 
Техническая защита персональных данных в Беларуси
Техническая защита персональных данных в БеларусиТехническая защита персональных данных в Беларуси
Техническая защита персональных данных в Беларуси
 
Вводная лекция по ОПОИБ
Вводная лекция по ОПОИБВводная лекция по ОПОИБ
Вводная лекция по ОПОИБ
 
Risks of non-compliance with regulatory requirements
Risks of non-compliance with regulatory requirementsRisks of non-compliance with regulatory requirements
Risks of non-compliance with regulatory requirements
 
Softline: защита персональных данных
Softline: защита персональных данныхSoftline: защита персональных данных
Softline: защита персональных данных
 
защита персональных данных
защита персональных данныхзащита персональных данных
защита персональных данных
 
ISMS audit and implementation
ISMS audit and implementationISMS audit and implementation
ISMS audit and implementation
 
Legislation and Responsibility (VMUG #7 Belarus)
Legislation and Responsibility (VMUG #7 Belarus)Legislation and Responsibility (VMUG #7 Belarus)
Legislation and Responsibility (VMUG #7 Belarus)
 
Ксения Шудрова - Защита персональных данных
Ксения Шудрова - Защита персональных данныхКсения Шудрова - Защита персональных данных
Ксения Шудрова - Защита персональных данных
 

Viewers also liked

Создание СУИБ в организации на примере 5 реализованных проектов LETA 2010-201...
Создание СУИБ в организации на примере 5 реализованных проектов LETA 2010-201...Создание СУИБ в организации на примере 5 реализованных проектов LETA 2010-201...
Создание СУИБ в организации на примере 5 реализованных проектов LETA 2010-201...LETA IT-company
 
Внедрение СУИБ на основе ISO/IEC 27001
Внедрение СУИБ на основе ISO/IEC 27001Внедрение СУИБ на основе ISO/IEC 27001
Внедрение СУИБ на основе ISO/IEC 27001Dmitry Savchenko
 
Методологии аудита информационной безопасности
Методологии аудита информационной безопасностиМетодологии аудита информационной безопасности
Методологии аудита информационной безопасностиPositive Hack Days
 
Практические аспекты проведения аудита информационной безопасности компании 2...
Практические аспекты проведения аудита информационной безопасности компании 2...Практические аспекты проведения аудита информационной безопасности компании 2...
Практические аспекты проведения аудита информационной безопасности компании 2...DialogueScience
 
Астерит. Марат Хазиев. "Аудит информационной безопасности - всё начинается с ...
Астерит. Марат Хазиев. "Аудит информационной безопасности - всё начинается с ...Астерит. Марат Хазиев. "Аудит информационной безопасности - всё начинается с ...
Астерит. Марат Хазиев. "Аудит информационной безопасности - всё начинается с ...Expolink
 
Политика обнаружения и реагирования на инциденты информационной безопасности
Политика обнаружения и реагирования на инциденты информационной безопасностиПолитика обнаружения и реагирования на инциденты информационной безопасности
Политика обнаружения и реагирования на инциденты информационной безопасностиEvgeniy Shauro
 
Управление инцидентами информационной безопасности от А до Я
Управление инцидентами информационной безопасности от А до ЯУправление инцидентами информационной безопасности от А до Я
Управление инцидентами информационной безопасности от А до ЯDialogueScience
 
ИСО 27001 на практике, или будни внедренца
ИСО 27001 на практике, или будни внедренцаИСО 27001 на практике, или будни внедренца
ИСО 27001 на практике, или будни внедренцаAlexey Evmenkov
 
Общий план комплексного аудита информационной безопасности
Общий план комплексного аудита информационной безопасностиОбщий план комплексного аудита информационной безопасности
Общий план комплексного аудита информационной безопасностиgrishkovtsov_ge
 
Iso 27001 внедрение технических защитных мер
Iso 27001 внедрение технических защитных мерIso 27001 внедрение технических защитных мер
Iso 27001 внедрение технических защитных мерAlexey Evmenkov
 
Вопросы для интервью ISO 27001
Вопросы для интервью ISO 27001Вопросы для интервью ISO 27001
Вопросы для интервью ISO 27001Ivan Piskunov
 
ISO 27001 (v2013) Checklist
ISO 27001 (v2013) ChecklistISO 27001 (v2013) Checklist
ISO 27001 (v2013) ChecklistIvan Piskunov
 
пр Инструменты Тайм-менеджмента, которые работают
пр Инструменты Тайм-менеджмента, которые работаютпр Инструменты Тайм-менеджмента, которые работают
пр Инструменты Тайм-менеджмента, которые работаютAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Предпроектное обследование состояния организации делопроизводства предприятия...
Предпроектное обследование состояния организации делопроизводства предприятия...Предпроектное обследование состояния организации делопроизводства предприятия...
Предпроектное обследование состояния организации делопроизводства предприятия...Expolink
 
шаблон отчет об обследовании объекта автоматизации
шаблон отчет об обследовании объекта автоматизациишаблон отчет об обследовании объекта автоматизации
шаблон отчет об обследовании объекта автоматизацииNatalia Zhelnova
 

Viewers also liked (20)

Создание СУИБ в организации на примере 5 реализованных проектов LETA 2010-201...
Создание СУИБ в организации на примере 5 реализованных проектов LETA 2010-201...Создание СУИБ в организации на примере 5 реализованных проектов LETA 2010-201...
Создание СУИБ в организации на примере 5 реализованных проектов LETA 2010-201...
 
Внедрение СУИБ на основе ISO/IEC 27001
Внедрение СУИБ на основе ISO/IEC 27001Внедрение СУИБ на основе ISO/IEC 27001
Внедрение СУИБ на основе ISO/IEC 27001
 
Методологии аудита информационной безопасности
Методологии аудита информационной безопасностиМетодологии аудита информационной безопасности
Методологии аудита информационной безопасности
 
Практические аспекты проведения аудита информационной безопасности компании 2...
Практические аспекты проведения аудита информационной безопасности компании 2...Практические аспекты проведения аудита информационной безопасности компании 2...
Практические аспекты проведения аудита информационной безопасности компании 2...
 
Аудит СУИБ
Аудит СУИБАудит СУИБ
Аудит СУИБ
 
Астерит. Марат Хазиев. "Аудит информационной безопасности - всё начинается с ...
Астерит. Марат Хазиев. "Аудит информационной безопасности - всё начинается с ...Астерит. Марат Хазиев. "Аудит информационной безопасности - всё начинается с ...
Астерит. Марат Хазиев. "Аудит информационной безопасности - всё начинается с ...
 
Политика обнаружения и реагирования на инциденты информационной безопасности
Политика обнаружения и реагирования на инциденты информационной безопасностиПолитика обнаружения и реагирования на инциденты информационной безопасности
Политика обнаружения и реагирования на инциденты информационной безопасности
 
Управление инцидентами информационной безопасности от А до Я
Управление инцидентами информационной безопасности от А до ЯУправление инцидентами информационной безопасности от А до Я
Управление инцидентами информационной безопасности от А до Я
 
ИСО 27001 на практике, или будни внедренца
ИСО 27001 на практике, или будни внедренцаИСО 27001 на практике, или будни внедренца
ИСО 27001 на практике, или будни внедренца
 
Scope of work IT DD
Scope of work IT DDScope of work IT DD
Scope of work IT DD
 
пр Тренды ИБ в России 2016 (Прозоров)
пр Тренды ИБ в России 2016 (Прозоров)пр Тренды ИБ в России 2016 (Прозоров)
пр Тренды ИБ в России 2016 (Прозоров)
 
Общий план комплексного аудита информационной безопасности
Общий план комплексного аудита информационной безопасностиОбщий план комплексного аудита информационной безопасности
Общий план комплексного аудита информационной безопасности
 
Iso 27001 внедрение технических защитных мер
Iso 27001 внедрение технических защитных мерIso 27001 внедрение технических защитных мер
Iso 27001 внедрение технических защитных мер
 
Вопросы для интервью ISO 27001
Вопросы для интервью ISO 27001Вопросы для интервью ISO 27001
Вопросы для интервью ISO 27001
 
ISO 27001 (v2013) Checklist
ISO 27001 (v2013) ChecklistISO 27001 (v2013) Checklist
ISO 27001 (v2013) Checklist
 
пр Инструменты Тайм-менеджмента, которые работают
пр Инструменты Тайм-менеджмента, которые работаютпр Инструменты Тайм-менеджмента, которые работают
пр Инструменты Тайм-менеджмента, которые работают
 
пр 5 почему аутсорсинга ИБ
пр 5 почему аутсорсинга ИБпр 5 почему аутсорсинга ИБ
пр 5 почему аутсорсинга ИБ
 
пр Управление инцидентами ИБ (Dozor) v.2.1
пр Управление инцидентами ИБ (Dozor) v.2.1пр Управление инцидентами ИБ (Dozor) v.2.1
пр Управление инцидентами ИБ (Dozor) v.2.1
 
Предпроектное обследование состояния организации делопроизводства предприятия...
Предпроектное обследование состояния организации делопроизводства предприятия...Предпроектное обследование состояния организации делопроизводства предприятия...
Предпроектное обследование состояния организации делопроизводства предприятия...
 
шаблон отчет об обследовании объекта автоматизации
шаблон отчет об обследовании объекта автоматизациишаблон отчет об обследовании объекта автоматизации
шаблон отчет об обследовании объекта автоматизации
 

Similar to Fomchenkov

Закон "О персональных данных": грядут перемены
Закон "О персональных данных": грядут переменыЗакон "О персональных данных": грядут перемены
Закон "О персональных данных": грядут переменыValery Bychkov
 
Комплексная защита персональных данных
Комплексная защита персональных данныхКомплексная защита персональных данных
Комплексная защита персональных данныхspiritussancti
 
законодательство в области защиты прав субъектов персональных данных
законодательство в области защиты прав субъектов персональных данныхзаконодательство в области защиты прав субъектов персональных данных
законодательство в области защиты прав субъектов персональных данныхDimOK AD
 
нпа обеспечение пдн
нпа обеспечение пдннпа обеспечение пдн
нпа обеспечение пднExpolink
 
Защита персональных данных в области рекрутмента
Защита персональных данных в области рекрутментаЗащита персональных данных в области рекрутмента
Защита персональных данных в области рекрутментаSPIBA
 
Правовые и технические аспекты защиты персональных данных в электронной комме...
Правовые и технические аспекты защиты персональных данных в электронной комме...Правовые и технические аспекты защиты персональных данных в электронной комме...
Правовые и технические аспекты защиты персональных данных в электронной комме...Demian Ramenskiy
 
Защита ПДн. Шпаргалка для ОУ
Защита ПДн. Шпаргалка для ОУЗащита ПДн. Шпаргалка для ОУ
Защита ПДн. Шпаргалка для ОУГБОУ № 509
 
Что ждет Россию с точки зрения законодательства по ИБ в ближайшие полгода?
Что ждет Россию с точки зрения законодательства по ИБ в ближайшие полгода?Что ждет Россию с точки зрения законодательства по ИБ в ближайшие полгода?
Что ждет Россию с точки зрения законодательства по ИБ в ближайшие полгода?Cisco Russia
 
Хостеры и регистраторы - операторы персональных данных
Хостеры и регистраторы - операторы персональных данныхХостеры и регистраторы - операторы персональных данных
Хостеры и регистраторы - операторы персональных данныхwebdrv
 
Актуальные вопросы защиты информации для государственных оранов
Актуальные вопросы защиты информации для государственных орановАктуальные вопросы защиты информации для государственных оранов
Актуальные вопросы защиты информации для государственных орановSergey Borisov
 
Решения Cisco для защиты персональных данных
Решения Cisco для защиты персональных данныхРешения Cisco для защиты персональных данных
Решения Cisco для защиты персональных данныхCisco Russia
 
Приказ ФСТЭК №21 от 18.02.2013 Об утверждении Состава и содержания организаци...
Приказ ФСТЭК №21 от 18.02.2013 Об утверждении Состава и содержания организаци...Приказ ФСТЭК №21 от 18.02.2013 Об утверждении Состава и содержания организаци...
Приказ ФСТЭК №21 от 18.02.2013 Об утверждении Состава и содержания организаци...Alexey Komarov
 
20091012_Personal data_02
20091012_Personal data_0220091012_Personal data_02
20091012_Personal data_02sbur
 
Решения Cisco для защиты персональных данных
Решения Cisco для защиты персональных данныхРешения Cisco для защиты персональных данных
Решения Cisco для защиты персональных данныхCisco Russia
 
Семинар "Выполнение требований законодательства о персональных данных"
Семинар "Выполнение требований законодательства о персональных данных"Семинар "Выполнение требований законодательства о персональных данных"
Семинар "Выполнение требований законодательства о персональных данных"Victor Poluksht
 

Similar to Fomchenkov (20)

Сертификация и персональные данные
Сертификация и персональные данныеСертификация и персональные данные
Сертификация и персональные данные
 
О проекте БЕЗ УГРОЗ
О проекте БЕЗ УГРОЗО проекте БЕЗ УГРОЗ
О проекте БЕЗ УГРОЗ
 
нн 2013 chugunov_v 1
нн 2013 chugunov_v 1нн 2013 chugunov_v 1
нн 2013 chugunov_v 1
 
Закон "О персональных данных": грядут перемены
Закон "О персональных данных": грядут переменыЗакон "О персональных данных": грядут перемены
Закон "О персональных данных": грядут перемены
 
Комплексная защита персональных данных
Комплексная защита персональных данныхКомплексная защита персональных данных
Комплексная защита персональных данных
 
законодательство в области защиты прав субъектов персональных данных
законодательство в области защиты прав субъектов персональных данныхзаконодательство в области защиты прав субъектов персональных данных
законодательство в области защиты прав субъектов персональных данных
 
нпа обеспечение пдн
нпа обеспечение пдннпа обеспечение пдн
нпа обеспечение пдн
 
Защита персональных данных в области рекрутмента
Защита персональных данных в области рекрутментаЗащита персональных данных в области рекрутмента
Защита персональных данных в области рекрутмента
 
Information Security Certification process
Information Security Certification processInformation Security Certification process
Information Security Certification process
 
Правовые и технические аспекты защиты персональных данных в электронной комме...
Правовые и технические аспекты защиты персональных данных в электронной комме...Правовые и технические аспекты защиты персональных данных в электронной комме...
Правовые и технические аспекты защиты персональных данных в электронной комме...
 
О проекте БЕЗ УГРОЗ РУ
О проекте БЕЗ УГРОЗ РУО проекте БЕЗ УГРОЗ РУ
О проекте БЕЗ УГРОЗ РУ
 
Защита ПДн. Шпаргалка для ОУ
Защита ПДн. Шпаргалка для ОУЗащита ПДн. Шпаргалка для ОУ
Защита ПДн. Шпаргалка для ОУ
 
Что ждет Россию с точки зрения законодательства по ИБ в ближайшие полгода?
Что ждет Россию с точки зрения законодательства по ИБ в ближайшие полгода?Что ждет Россию с точки зрения законодательства по ИБ в ближайшие полгода?
Что ждет Россию с точки зрения законодательства по ИБ в ближайшие полгода?
 
Хостеры и регистраторы - операторы персональных данных
Хостеры и регистраторы - операторы персональных данныхХостеры и регистраторы - операторы персональных данных
Хостеры и регистраторы - операторы персональных данных
 
Актуальные вопросы защиты информации для государственных оранов
Актуальные вопросы защиты информации для государственных орановАктуальные вопросы защиты информации для государственных оранов
Актуальные вопросы защиты информации для государственных оранов
 
Решения Cisco для защиты персональных данных
Решения Cisco для защиты персональных данныхРешения Cisco для защиты персональных данных
Решения Cisco для защиты персональных данных
 
Приказ ФСТЭК №21 от 18.02.2013 Об утверждении Состава и содержания организаци...
Приказ ФСТЭК №21 от 18.02.2013 Об утверждении Состава и содержания организаци...Приказ ФСТЭК №21 от 18.02.2013 Об утверждении Состава и содержания организаци...
Приказ ФСТЭК №21 от 18.02.2013 Об утверждении Состава и содержания организаци...
 
20091012_Personal data_02
20091012_Personal data_0220091012_Personal data_02
20091012_Personal data_02
 
Решения Cisco для защиты персональных данных
Решения Cisco для защиты персональных данныхРешения Cisco для защиты персональных данных
Решения Cisco для защиты персональных данных
 
Семинар "Выполнение требований законодательства о персональных данных"
Семинар "Выполнение требований законодательства о персональных данных"Семинар "Выполнение требований законодательства о персональных данных"
Семинар "Выполнение требований законодательства о персональных данных"
 

More from AKlimchuk

актуальные вопросы перехода удостоверяющего центра на новые криптографические...
актуальные вопросы перехода удостоверяющего центра на новые криптографические...актуальные вопросы перехода удостоверяющего центра на новые криптографические...
актуальные вопросы перехода удостоверяющего центра на новые криптографические...AKlimchuk
 
методические рекомендации для гис
методические рекомендации для гисметодические рекомендации для гис
методические рекомендации для гисAKlimchuk
 
концепция защиты виртуального цод. михаил савушкин, Symantec.
концепция защиты виртуального цод. михаил савушкин, Symantec.концепция защиты виртуального цод. михаил савушкин, Symantec.
концепция защиты виртуального цод. михаил савушкин, Symantec.AKlimchuk
 
сто бр иббс 1.0-2014
сто бр иббс 1.0-2014сто бр иббс 1.0-2014
сто бр иббс 1.0-2014AKlimchuk
 
положение цб россии № 382 п
положение цб россии № 382 пположение цб россии № 382 п
положение цб россии № 382 пAKlimchuk
 
презентация иб техносерв
презентация иб техносервпрезентация иб техносерв
презентация иб техносервAKlimchuk
 

More from AKlimchuk (6)

актуальные вопросы перехода удостоверяющего центра на новые криптографические...
актуальные вопросы перехода удостоверяющего центра на новые криптографические...актуальные вопросы перехода удостоверяющего центра на новые криптографические...
актуальные вопросы перехода удостоверяющего центра на новые криптографические...
 
методические рекомендации для гис
методические рекомендации для гисметодические рекомендации для гис
методические рекомендации для гис
 
концепция защиты виртуального цод. михаил савушкин, Symantec.
концепция защиты виртуального цод. михаил савушкин, Symantec.концепция защиты виртуального цод. михаил савушкин, Symantec.
концепция защиты виртуального цод. михаил савушкин, Symantec.
 
сто бр иббс 1.0-2014
сто бр иббс 1.0-2014сто бр иббс 1.0-2014
сто бр иббс 1.0-2014
 
положение цб россии № 382 п
положение цб россии № 382 пположение цб россии № 382 п
положение цб россии № 382 п
 
презентация иб техносерв
презентация иб техносервпрезентация иб техносерв
презентация иб техносерв
 

Fomchenkov

  • 1. ЗАЩИТА ИНФОРМАЦИИ ПО ПОЛОЧКАМ ООО «Смолтелеком» Фомченков Сергей
  • 2. ЗАЩИТА ИНФОРМАЦИИ ПО ПОЛОЧКАМ  Федеральный закон от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации»  Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных»  Нормативные, руководящие и методических документах ФСТЭК России  Нормативные, руководящие и методических документах и ФСБ России  Государственные стандарты Законодательство в сфере защиты информации
  • 3. ЗАЩИТА ИНФОРМАЦИИ ПО ПОЛОЧКАМ  КАК ОРГАНИЗОВАТЬ МЕРОПРИЯТИЯ ПО ЗАЩИТЕ ИНФОРМАЦИИ?  КАКИЕ НЕОБХОДИМО ПРИНЯТЬ МЕРЫ?  С ЧЕГО НАЧАТЬ?
  • 4. ЗАЩИТА ИНФОРМАЦИИ ПО ПОЛОЧКАМ ПОЛОЧКА 1. ОПРЕДЕЛЕНИЕ ЛИЦ, ОТВЕЧАЮЩИХ ЗА ВЫПОЛНЕНИЕ ТРЕБОВАНИЙ УСТАНОВЛЕННЫХ К ОБРАБОТКЕ И ОБЕСПЕЧЕНИЮ БЕЗОПАСНОСТИ ПДН  Ответственный за организацию обработки ПДн (Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных» ст. 18.1, ч.1, п.1)  Комиссия по обеспечению безопасности ПДн функции комиссии:  проведение внутреннего аудита и инвентаризации информационных ресурсов;  определение оценки вреда, который может быть причинен субъектам ПДн;  построение модели угроз безопасности ПДн. Локальные акты:  Приказ о назначении ответственного за организацию обработки ПДн;  Должностные обязанности ответственного за организацию обработки ПДн;  Приказ о создании комиссии по обеспечению безопасности ПДн;  Положение о комиссии по обеспечению безопасности ПДн.
  • 5. ЗАЩИТА ИНФОРМАЦИИ ПО ПОЛОЧКАМ ПОЛОЧКА 2. ПОЛИТИКА ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ  Определить политику в отношении обработки ПДн (Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных» ст. 18.1, ч.1, п.2)  ГОСТ Р ИСО/МЭК 17799-2005 «Информационная технология. Практические правила управления информационной безопасностью»;  ГОСТ Р ИСО/МЭК 13335-1-2006 «Информационная технология. Методы и средства обеспечения безопасности. Часть 1. Концепция и модели менеджмента безопасности информационных и телекоммуникационных технологий»;  ГОСТ Р ИСО/МЭК 13335-3-2007 «Информационная технология. Методы и средства обеспечения безопасности. Часть 3. Методы менеджмента безопасности информационных технологий»  Данная политика должна быть опубликована или иным способом сделана общедоступной Локальные акты:  Политику оператора в отношении обработки и обеспечения безопасности ПДн;  План мероприятий обеспечению безопасности ПДн (по реализации политики)
  • 6. ЗАЩИТА ИНФОРМАЦИИ ПО ПОЛОЧКАМ ПОЛОЧКА 3. АУДИТ, ИНВЕНТАРИЗАЦИЯ И КЛАССИФИКАЦИЯ АКТИВОВ  Все основные информационные активы должны быть учтены и закреплены за ответственными владельцами (ГОСТ Р ИСО/МЭК 17799-2005 , ГОСТ Р ИСО/МЭК 13335-1- 2006, ГОСТ Р ИСО/МЭК 13335-3-2007) Локальные акты:  Перечень ПДн с указанием: – цели обработки и основания для обработки; – состава ПДн; – количества субъектов ПДн; – типа обработки ПДн (автоматизированная, неавтоматизированная, смешанная); – типа ПДн (специальные, биометрические, общедоступные, иные персональные данные, персональные данные сотрудников); – сроков хранения, места обработки (хранения) ПДн.  Перечень лиц, допущенных к обработке ПДн, с указанием к каким ПДн имеют доступ;  Перечень помещений, в которых ведется обработка ПДн;  Перечень ИСПДн; и прочие.
  • 7. ЗАЩИТА ИНФОРМАЦИИ ПО ПОЛОЧКАМ ПОЛОЧКА 4. ВЫПОЛНЕНИЕ СПЕЦИФИЧЕСКИХ ТРЕБОВАНИЙ РЕЖИМА ПДН  Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных»;  Постановление Правительства Российской Федерации от 15.09.2008 № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»;  Постановление Правительства Российской Федерации от 6.06.2008 №512 «Об утверждении требований к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных»  Постановление Правительства Российской Федерации № 211 от 21.03.2012 «Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами»
  • 8. ЗАЩИТА ИНФОРМАЦИИ ПО ПОЛОЧКАМ ПОЛОЧКА 4. ВЫПОЛНЕНИЕ СПЕЦИФИЧЕСКИХ ТРЕБОВАНИЙ РЕЖИМА ПДН Локальные акты:  Положение о порядке обработки ПДн;  Регламент рассмотрения запросов субъектов ПДн или их представителей с типовыми формами запросов и ответов;  Журнал учета запросов субъектов ПДн;  Уведомление о намерении осуществлять обработку ПДн;  Типовые формы согласий на обработку ПДн (субъекта, представителя субъекта) для каждой цели обработки;  Типовой раздел для договоров с третьими лицами о соблюдение конфиденциальности ПДн;  Типовая форма разъяснения субъекту ПДН юридических последствий отказа предоставить свои ПДн;  Порядок обработки ПДн без использования средств автоматизации;  Типовые формы документов, содержащих ПДн;  Порядок работы с обезличенными данными;  Перечень должностей служащих государственного или муниципального органа, ответственных за проведение мероприятий по обезличиванию обрабатываемых ПДн;  Порядок обращения с биометрическими ПДн;  Журнал учета материальных носителей с биометрическими ПДн; и д.р.
  • 9. ЗАЩИТА ИНФОРМАЦИИ ПО ПОЛОЧКАМ ПОЛОЧКА 5. ОЦЕНКА ВРЕДА, ОПРЕДЕЛЕНИЕ УГРОЗ БЕЗОПАСНОСТИ И НЕОБХОДИМОГО УРОВНЯ ЗАЩИЩЕННОСТИ В соответствии с Федерального закона «О персональных данных» оператор обязан провести:  оценку вреда, который может быть причинен субъектам ПДн в случае нарушения закона, соотношение указанного вреда и принимаемых оператором мер, направленных на обеспечение выполнения обязанностей, предусмотренных законом;  определение угроз безопасности ПДн при их обработке в ИСПДн;  определение необходимого уровня защищенности ПДн.
  • 10. ЗАЩИТА ИНФОРМАЦИИ ПО ПОЛОЧКАМ ПОЛОЧКА 5. ОЦЕНКА ВРЕДА, ОПРЕДЕЛЕНИЕ УГРОЗ БЕЗОПАСНОСТИ И НЕОБХОДИМОГО УРОВНЯ ЗАЩИЩЕННОСТИ  ГОСТ Р 51901.1-2002 «Менеджмент риска. Анализ риска технологических систем»;  ГОСТ Р ИСО/МЭК 27005-2010 – «Информационная технология. Методы и средства обеспечения безопасности. Менеджмент риска информационной безопасности».
  • 11. ЗАЩИТА ИНФОРМАЦИИ ПО ПОЛОЧКАМ ПОЛОЧКА 5. ОЦЕНКА ВРЕДА, ОПРЕДЕЛЕНИЕ УГРОЗ БЕЗОПАСНОСТИ И НЕОБХОДИМОГО УРОВНЯ ЗАЩИЩЕННОСТИ Для определения актуальных угроз безопасности ПДн, оператором проводится разработка модели угроз безопасности ПДн в соответствии с существующими методиками и государственными стандартами.  Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных (выписка). ФСТЭК России  Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных ФСТЭК России  Отраслевая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных Операторов связи  РС БР ИББС -2.4-2010 - Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Отраслевая частная модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных  ГОСТ Р ИСО/МЭК 27005-2010 – «Информационная технология. Методы и средства обеспечения безопасности. Менеджмент риска информационной безопасности».  ГОСТ Р ИСО/МЭК 13335-3-2007 «Информационная технология. Методы и средства обеспечения безопасности. Часть 3. Методы менеджмента безопасности информационных технологий»
  • 12. ЗАЩИТА ИНФОРМАЦИИ ПО ПОЛОЧКАМ ПОЛОЧКА 5. ОЦЕНКА ВРЕДА, ОПРЕДЕЛЕНИЕ УГРОЗ БЕЗОПАСНОСТИ И НЕОБХОДИМОГО УРОВНЯ ЗАЩИЩЕННОСТИ Постановление Правительства РФ от 1 ноября 2012 г. №1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»
  • 13. ЗАЩИТА ИНФОРМАЦИИ ПО ПОЛОЧКАМ ПОЛОЧКА 5. ОЦЕНКА ВРЕДА, ОПРЕДЕЛЕНИЕ УГРОЗ БЕЗОПАСНОСТИ И НЕОБХОДИМОГО УРОВНЯ ЗАЩИЩЕННОСТИ Локальные акты:  Протокол (акт, отчет) оценки вреда, который может быть причинен субъектам ПДн ;  Частная модель угроз безопасности ПДн (как правило для каждой ИСПДн);  Акт определения уровня защищенности ПДн при их обработке в ИСПДн.
  • 14. ЗАЩИТА ИНФОРМАЦИИ ПО ПОЛОЧКАМ ПОЛОЧКА 6. ОПРЕДЕЛЕНИЕ ЗАЩИТНЫХ МЕР  Постановление Правительства РФ от 1 ноября 2012 г. №1119  Нормативные документы ФСТЭК России и ФСБ России  ГОСТ Р ИСО/МЭК ТО 13335-4-2007 «Информационная технология. Методы и средства обеспечения безопасности. Часть 4. Выбор защитных мер».  Информационное письмо ФСТЭК России «Об особенностях защиты ПДн при их обработке в ИСПДн и сертификации СЗИ, предназначенных для защиты ПДн» от 20 ноября 2012 г. № 240/24/4669 Локальные акты:  Техническое задание на создание системы защиты ПДн (СЗПДн);  Технический проект СЗПДн. • ГОСТ Р 51583-2000. «Порядок создания автоматизированных систем в защищённом исполнении. • ГОСТ Р 51624-2000. «Автоматизированные системы в защищённом исполнении. Общие требования»; • ГОСТ 34.201 «Виды, комплектность и обозначение документов при создании автоматизированных систем»; • ГОСТ 34.601 «Информационная технология. Автоматизированные системы. Стадии создания».; • РД 50-34.698-90 «Автоматизированные системы. Требования к содержанию документов».
  • 15. ЗАЩИТА ИНФОРМАЦИИ ПО ПОЛОЧКАМ ПОЛОЧКА 7. ПЕРСОНАЛ. ОБЯЗАННОСТИ. ОТВЕТСТВЕННОСТЬ.  Следует определить обязанности по защите отдельных активов и по выполнению конкретных процедур, связанных с информационной безопасностью  Кроме этого, должна быть четко определена конкретная персональная ответственность в отношении отдельных материальных и информационных активов и процессов, связанных с информационной безопасностью.  Ответственные сотрудники должны иметь достаточную квалификацию.  При необходимости следует организовать их обучение.  Должны быть разработаны и утверждены должностные обязанности, инструкции, приказы связанные с обеспечением безопасности ПДн
  • 16. ЗАЩИТА ИНФОРМАЦИИ ПО ПОЛОЧКАМ ПОЛОЧКА 7. ПЕРСОНАЛ. ОБЯЗАННОСТИ. ОТВЕТСТВЕННОСТЬ. Локальные акты:  Приказ о допуске сотрудников к обработке ПДн;  Должностные инструкции сотрудников, обрабатывающих ПДн  Приказ о назначение ответственного за обеспечение безопасности ПДн и его должностные обязанности;  Приказ о назначение администратора безопасности и его должностные обязанности;  Приказ о назначение администратора ИСПДн и его должностные обязанности;  Перечень лиц допущенных в помещения, где ведется обработка ПДн;  Инструкция о порядке использования СКЗИ;  Приказ о назначении ответственного за СКЗИ;  Перечень лиц допущенных к работе с СКЗИ;  Обязательство о неразглашении информации для сотрудников;  Регламент проведения инструктажа по информационной безопасности;  Журнал учета инструктажа сотрудников по вопросам обработки и обеспечению безопасности ПДн; и д.р.
  • 17. ЗАЩИТА ИНФОРМАЦИИ ПО ПОЛОЧКАМ ПОЛОЧКА 8. РЕАЛИЗАЦИЯ ЗАЩИТНЫХ МЕР. ВНЕДРЕНИЕ СИСТЕМЫ ЗАЩИТЫ ИНФОРМАЦИИ. Проводятся мероприятия по установке и настройке средств защиты информации, внедрение организационных мер, положений, регламентов, инструкций и журналов Локальные акты:  Положения о пропускном режиме и о контролируемой зоне;  Порядок доступа в помещения;  Положения (инструкции) об антивирусной защите, о парольной защите;  Регламент резервного копирования и восстановления;  Журнал учета носителей ПДн;  Регламент предоставления и изменения прав доступа к ресурсам и матрица доступа;  Порядок учета и журнал учета СЗИ;  Порядок учета, хранения, уничтожения документов и электронных носителей содержащих ПДн;  Инструкция по работе в сетях общего пользования;  Технический паспорт на каждую ИСПДн;  Акты установки СЗИ;  Приказы о вводе в эксплуатация ИСПДн и СЗПДн  и др.
  • 18. ЗАЩИТА ИНФОРМАЦИИ ПО ПОЛОЧКАМ ПОЛОЧКА 9. КОНТРОЛЬ В организации должен осуществляться контроль за принимаемыми мерами по обеспечению безопасности ПДн и установленным уровнем защищенности ИСПДн. Периодичность проведения контроля выбирается в зависимости от объективных факторов, но, как правило, не реже 1-го раза в год В соответствии с п.17 Постановления Правительства РФ от 1 ноября 2012 г. №1119, не реже 1 раза в 3 года оператором самостоятельно и (или) с привлечением на договорной основе организаций, имеющих лицензию на осуществление деятельности по ТЗКИ организуется и проводится контроль за выполнением требований указанного постановления Локальные акты:  Положение (Инструкция) о порядке проведения внутреннего контроля;  Журнал учета мероприятий по контролю;
  • 19. ЗАЩИТА ИНФОРМАЦИИ ПО ПОЛОЧКАМ ПОЛОЧКА 10 КОРРЕКТИРОВКА ПРИНЯТЫХ МЕР ИЛИ ВСЕ СНАЧАЛА С целью поддержания работоспособности системы защиты информации необходимо:  вносить изменения в приказы и перечни в связи с кадровыми перестановками;  проводить мониторинг изменений законодательства в сфере ПДн и защиты информации;  вносить изменения в организационные, технические и проектные документы, в связи с изменением структуры данных или информационных систем;  ежегодно проводить повторный аудит и инвентаризацию. ГОСТ Р ИСО/МЭК 27001-2006- «Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования»
  • 20. ООО «Смолтелеком» осуществляет весь спектр работ по защите информации:  Аудит организаций и информационных систем  Разработка локальных документов для выполнения требований ФЗ №152  Разработка технический проектов систем защиты информации  Оценка вреда субъекту персональных данных  Модель угроз безопасности  Настройка и внедрение средств защиты информации  Аттестация информационных систем с конфиденциальной информацией  Аутсорсинг и полное сопровождение безопасности организаций ЗАЩИТА ИНФОРМАЦИИ ПО ПОЛОЧКАМ Лицензия ФСТЭК России КИ 0079 003948 Лицензия ФСБ России ЛСЗ 0002555
  • 21. СПАСИБО ЗА ВНИМАНИЕ ООО «Смолтелеком» Отдел защищенного электронного документооборота www.smoltelecom.ru (4812) 32-88-01