1. Поддержка Заказчиков,
в выполнении требований 152-ФЗ
с учетом Приказа № 58 ФСТЭК
Филатов Дмитрий Владимирович,
Заместитель генерального директора по ИТ

2. Противоречия?
Правительство РФ, № 781 «Положением по обеспечению
безопасности персональных данных при их обработке в
информационных системах персональных данных».
Пункт 5 «Средства защиты информации, применяемые в
информационных системах, в установленном порядке
проходят процедуру оценки соответствия».
Мы рекомендуем организации проводить добровольную
аттестацию своих информационных систем персональных
данных с помощью компаний-лицензиатов, в случаях, когда
риск несоответствия организационно-распорядительных
документов и ИСПДн требованиям регуляторов может иметь
критические последствия.

3. Соответствие ИСПДн 152-ФЗ
Как NAUMEN учел требования
ФСТЭК при разработке систем?

4. Управление доступом
 Идентификация и проверка подлинности пользователя при
входе в систему по идентификатору (коду) и паролю.
 Идентификация терминалов, технических средств по
логическим именам.
Идентификация программ, томов, каталогов, файлов, записей,
полей записей по именам.
 Контроль доступа пользователей к защищаемым ресурсам в
соответствии с матрицей доступа.

5. Регистрация и учет
 Регистрация входа (выхода) пользователей в систему
(из системы), либо регистрация загрузки и инициализации
операционной системы и ее программного останова.
 Регистрация выдачи печатных (графических)
документов на бумажный носитель. В параметрах
регистрации указываются дата и время выдачи (обращения к
подсистеме вывода), спецификация устройства выдачи,
краткое содержание документа (наименование, вид, шифр,
код), идентификатор пользователя, запросившего документ.

6. Регистрация и учет
 Регистрация запуска (завершения) программ и процессов
(заданий, задач), предназначенных для обработки
персональных данных.
 Регистрация попыток доступа программных средств
(программ, процессов, задач, заданий) к защищаемым файлам.
В параметрах регистрации указываются дата и время попытки
доступа к защищаемому файлу с указанием ее результата
(успешная, неуспешная).

7. Регистрация и учет
 Регистрация попыток доступа программных средств к
дополнительным защищаемым объектам доступа (терминалам,
техническим средствам, узлам сети, линиям (каналам) связи,
внешним устройствам, программам, томам, каталогам, файлам,
записям, полям записей).
Очистка (обнуление, обезличивание) освобождаемых областей
оперативной памяти информационной системы и внешних
накопителей.

8. Обеспечение целостности
 Обеспечение целостности программных средств системы
защиты персональных данных, обрабатываемой информации, а
также неизменность программной среды. Целостность системы
защиты персональных данных проверяется при загрузке по
контрольным суммам компонентов системы;
 Наличие средств восстановления системы защиты
персональных данных, предусматривающих ведение двух
копий программных компонентов средств защиты информации,
их периодическое обновление и контроль работоспособности.

9. Общие требования
 Защищенный канал до рабочего места.
 Защищенный канал между сервером приложений и СУБД.
 Подписывание исполняемого кода и подсчет контрольных
сумм (выполняется в рамках специальных проектов).

10. Мероприятия NAUMEN
 Создан в начале 2009 года Отдел технической
защиты информации, проведены специальные
мероприятия.
 Оформлены заявки на Лицензии ФСТЭК
(деятельность по технической защите
конфиденциальной информации и разработка
технических средств защиты конфиденциальной
информации).
 Наличие специального программного
обеспечения сертифицированного ФСТЭК.

11. Наши предложения
Мы предлагаем пакет Организационно-
распорядительной документации для
пользователей информационных систем NAUMEN
в рамках специального предложения.
Мы готовы рекомендовать партнеров, которые
имеют неограниченный доступ к нашей
проектно-технической документации.

12. Мы ценим ваше доверие!
www.naumen.ru