СОСТАВ И СОДЕРЖАНИЕ ОРГАНИЗАЦИОННЫХ И ТЕХНИЧЕСКИХ МЕР ПО ОБЕСПЕЧЕНИЮ БЕЗОПАСН...Константин Бажин
Документ устанавливает состав и содержание организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, принимаемых операторами для защиты
персональных данных от:
•неправомерного или случайного доступа к ним,
•уничтожения, изменения, блокирования, копирования, предоставления,
•распространения персональных данных,
•а также от иных неправомерных действий в отношении персональных данных.
Состав и содержание мер по обеспечению безопасности персональных данныхПавел Семченко
В презентации приводится обзор приказа Федеральной службы по техническому и экспортному контролю от 18 февраля 2013 г. №21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных» и приказа Федеральной службы по техническому и экспортному контролю от 11 февраля 2013 г. №17 «Об утверждении требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах»
Техническая защита ИСПДн: проблемы... и решения?Алексей Волков
Презентация Волкова А.Н. с конференции «Обеспечение технической защиты персональных данных при их обработке в информационных системах персональных данных», г.Череповец, 22 марта 2011 г.
презентация "затравка" для Методического сбора со штатными специалистами исполнительные органы государственной власти Томской области (ИОГВ ТО) на тему «Выполнение плана мероприятий по устранению недостатков, выявленных комиссией ФСТЭК России при проверке состояния работ по технической защите конфиденциальной информации в исполнительных органах государственной власти Томской области
¿Qué es la bendición espiritual en la vida del creyente? Los tipos de bendiciones espirituales según la Biblia.
(Notas adicionales en PowerPoint al descargar)
СОСТАВ И СОДЕРЖАНИЕ ОРГАНИЗАЦИОННЫХ И ТЕХНИЧЕСКИХ МЕР ПО ОБЕСПЕЧЕНИЮ БЕЗОПАСН...Константин Бажин
Документ устанавливает состав и содержание организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, принимаемых операторами для защиты
персональных данных от:
•неправомерного или случайного доступа к ним,
•уничтожения, изменения, блокирования, копирования, предоставления,
•распространения персональных данных,
•а также от иных неправомерных действий в отношении персональных данных.
Состав и содержание мер по обеспечению безопасности персональных данныхПавел Семченко
В презентации приводится обзор приказа Федеральной службы по техническому и экспортному контролю от 18 февраля 2013 г. №21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных» и приказа Федеральной службы по техническому и экспортному контролю от 11 февраля 2013 г. №17 «Об утверждении требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах»
Техническая защита ИСПДн: проблемы... и решения?Алексей Волков
Презентация Волкова А.Н. с конференции «Обеспечение технической защиты персональных данных при их обработке в информационных системах персональных данных», г.Череповец, 22 марта 2011 г.
презентация "затравка" для Методического сбора со штатными специалистами исполнительные органы государственной власти Томской области (ИОГВ ТО) на тему «Выполнение плана мероприятий по устранению недостатков, выявленных комиссией ФСТЭК России при проверке состояния работ по технической защите конфиденциальной информации в исполнительных органах государственной власти Томской области
¿Qué es la bendición espiritual en la vida del creyente? Los tipos de bendiciones espirituales según la Biblia.
(Notas adicionales en PowerPoint al descargar)
La espera de mi primer cliente. Mi primer cliente llegó en tres meses valió la pena esperar. Mi primer negocio fue lo mejor de mi vida, realmente lo mejor y le doy a gracias por lo que soy ahora, me concedió lecciones de vida empresarial y personal. Fue el año 1990, aún estudiaba en University of Miami, Florida. Me arrancó lágrimas, muchas noches sin dormir. Me concedió satisfacciones y recóndita felicidad. Me dio el placer de un arraigado sentimiento de éxito, el cual quieres, deseas y haces todo por experimentarlo varias veces, cada vez que tienes una idea.
El poeta (por definición enamorado) subió a la internet durante 2 años periódicamente estos mal trazados versos en honor de su musa inspiradora -lejana y luminosa como todas ellas-. Unidos en éste poemario virtual que seguramente se irá expandiendo con el paso de los tormentosos tiempos del amor.
Презентация ГЭНДАЛЬФ подключение к РЦОИ «ГК ГЭНДАЛЬФ»
Организация безопасной передачи данных по ЕГЭ в соответствии с Федеральным законом Российской Федерации от 27.07.2006 № 152-ФЗ «О персональных данных».
Мармоленко С., представитель группы компаний «ГЭНДАЛЬФ»
Positive Hack Days. Токаренко. Compliance риски в информационной безопасностиPositive Hack Days
Регулирование информационной безопасности в России давно превысило все мыслимые и немыслимые пределы и сделало эту тему для многих компаний притчей во языцех. ФЗ-152, закон о госуслугах, закон о национальной платежной системе, PCI DSS, новые приказы ФСБ, ФСО и Минкомсвязи… все это сваливается на головы ничего не подозревающих потребителей как снежный ком.
Техническая защита персональных данных в Беларуси (Версия 2)Вячеслав Аксёнов
Требования законодательства по защите персональных данных в Беларуси и их взаимосвязь. С гиперссылками на тексты нормативных правовых актов.
+ Добавлен раздел про ответственность за нарушения законодательства.
В презентации рассматриваются вопросы сертификации, лицензирования и аттестации в области защиты информации применительно к задачам защиты персональных данных.
Инфраструктуры и сценарии защиты информационных систем персональных данныхПавел Семченко
Краткая презентация, в которой представлены основные варианты инфраструктур информационных систем персональных данных, приведены популярные средства защиты информации и их комбинации для создания комплекса защиты персональных данных.
3. Термины и определения
Автоматизированная система (АС) – система, состоящая из персонала и комплекса средств автоматизации его
деятельности, реализующая информационную технологию выполнения установленных функций.
Информация – сведения о лицах, предметах, фактах, событиях, явлениях и процессах независимо от формы их
представления.
Конфиденциальность информации:
1) состояние защищенности информации, характеризуемое способностью АС обеспечивать сохранение в тайне
информации от субъектов, не имеющих полномочий на ознакомление с ней;
2) обязательное для выполнения лицом, получившим доступ к определенной информации, требование не передавать такую
информацию третьим лицам без согласия ее обладателя.
Доступность информации – состояние информации, характеризуемое способностью АС обеспечивать
беспрепятственный доступ к информации субъектов, имеющих на это полномочия.
Целостность информации – состояние защищенности информации, характеризуемое способностью АС
обеспечивать сохранность и неизменность конфиденциальной информации при попытках несанкционированных
или случайных воздействий на нее в процессе обработки и хранения.
Аутентичность информации – подлинность, полнота и точность информации, означающие, что информация была
создана легитимными участниками информационного процесса и не подвергалась случайному или
преднамеренному искажению.
3
• Федеральный закон от 27 июля 2006 г. №149 -ФЗ «Об информации, информационных технологиях и о защите информации»
• ГОСТ Р 51275-99 «Защита информации. Объект информатизации. Факторы, воздействующие на информацию. Общие положения»
• ГОСТ 34.003-90 «Автоматизированные системы. Термины и определения»
• Иные нормативно-правовые акты
4. Термины и определения
Объект информатизации (ОИ) – совокупность информационных ресурсов, средств
и систем обработки информации, используемых в соответствии с заданной
информационной технологией, средств обеспечения объекта информатизации,
помещений или объектов (зданий, сооружений, технических средств), в которых они
установлены, или помещения и объекты, предназначенные для ведения
конфиденциальных переговоров.
Защищаемые помещения (ЗП) – помещения (служебные кабинеты, актовые,
конференц-залы и т.д.), специально предназначенные для проведения
конфиденциальных мероприятий (совещаний, обсуждений, конференций,
переговоров и т.п.).
Основные технические средства и системы (ОТСС) – технические средства и
системы, а также их коммуникации, используемые для обработки, хранения и
передачи конфиденциальной информации
Вспомогательные технические средства и системы (ВТСС) – технические средства
и системы, не предназначенные для передачи, обработки и хранения
конфиденциальной информации, размещаемые совместно с ОТСС или в ЗП
4
• ГОСТ Р 51275-99 «Защита информации. Объект информатизации. Факторы, воздействующие на информацию. Общие положения»
• Иные нормативно-правовые акты
5. Термины и определения
Контролируемая зона – пространство (территория, здание, часть здания,
помещение), в котором исключено неконтролируемое пребывание посторонних
лиц, а также транспортных, технических и иных материальных средств.
Зона 1 – Пространство вокруг ОТСС, на границе и за пределами которого уровень
наведенного от ОТСС сигнала в ВТСС, а также в посторонних проводах и линиях
передачи информации, имеющих выход за пределы КЗ, не превышает
нормированного значения.
Зона 2 – Пространство вокруг ОТСС на границе и за пределами которого
напряженность электромагнитного поля информативного сигнала не превышает
нормированного значения.
Техническая защита конфиденциальной информации (ТЗКИ) – защита информации
некриптографическими методами, направленными на предотвращение утечки
защищаемой информации по техническим каналам, от несанкционированного
доступа к ней и от специальных воздействий на информацию в целях ее
уничтожения, искажения или блокирования.
5
Государственные нормативно-правовые акты
6. Термины и определения
Перехват – получение несанкционированного доступа к ресурсу.
Данный тип нарушения нарушает КОНФИДЕНЦИАЛЬНОСТЬ
информации.
Модификация – открытие несанкционированного доступа к ресурсу и
его изменение нарушителем. Данный тип нарушений нарушает
ЦЕЛОСТНОСТЬ информации.
Фальсификация – внесение в систему ложного объекта. Данный тип
нарушений нарушает АУТЕНТИЧНОСТЬ информации.
Разъединение – уничтожение ресурса системы, либо приведение его
в состояние недоступности или негодности. Данный тип нарушений
нарушает ДОСТУПНОСТЬ информации.
6
7. Термины и определения
Информационные технологии – процессы, методы поиска, сбора,
хранения, обработки, предоставления, распространения информации и
способы осуществления таких процессов и методов.
Информационная система – совокупность содержащейся в базах данных
информации и обеспечивающих ее обработку информационных
технологий и технических средств.
Информационно-телекоммуникационная сеть – технологическая
система, предназначенная для передачи по линиям связи информации,
доступ к которой осуществляется с использованием средств
вычислительной техники.
Обладатель информации - лицо, самостоятельно создавшее
информацию либо получившее на основании закона или договора право
разрешать или ограничивать доступ к информации, определяемой по
каким-либо признакам.
7
Федеральный закон от 27 июля 2006 г. №149-ФЗ «Об информации, информационных технологиях и о защите информации»"
8. Термины и определения
Доступ к информации – возможность получения информации и ее использования.
Предоставление информации – действия, направленные на получение информации определенным кругом лиц
или передачу информации определенному кругу лиц.
Распространение информации – действия, направленные на получение информации неопределенным кругом
лиц или передачу информации неопределенному кругу лиц.
Электронное сообщение – информация, переданная или полученная пользователем информационно-
телекоммуникационной сети.
Документированная информация – зафиксированная на материальном носителе путем документирования
информация с реквизитами, позволяющими определить такую информацию или в установленных
законодательством Российской Федерации случаях ее материальный носитель.
Электронный документ – документированная информация, представленная в электронной форме, то есть в виде,
пригодном для восприятия человеком с использованием электронных вычислительных машин, а также для передачи
по информационно-телекоммуникационным сетям или обработки в информационных системах.
Оператор информационной системы – гражданин или юридическое лицо, осуществляющие деятельность по
эксплуатации информационной системы, в том числе по обработке информации, содержащейся в ее базах
данных.
8
Федеральный закон от 27 июля 2006 г. №149-ФЗ «Об информации, информационных технологиях и о защите информации»
9. Термины и определения
Персональные данные – любая информация, относящаяся к прямо или косвенно определенному или
определяемому физическому лицу (субъекту персональных данных).
Оператор – государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно
или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а
также определяющие цели обработки персональных данных, состав персональных данных, подлежащих
обработке, действия (операции), совершаемые с персональными данными.
Средства вычислительной техники (СВТ) – совокупность программных и технических элементов систем обработки
данных, способных функционировать самостоятельно или в составе других систем.
Обработка персональных данных – любое действие (операция) или совокупность действий (операций),
совершаемых с использованием средств автоматизации или без использования таких средств с персональными
данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение),
извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование,
удаление, уничтожение персональных данных.
Автоматизированная обработка персональных данных – обработка персональных данных с помощью средств
вычислительной техники.
Распространение персональных данных – действия, направленные на раскрытие персональных данных
неопределенному кругу лиц.
9
Федеральный закон от 27 июля 2006 г. №152-ФЗ «О персональных данных»
10. Термины и определения
Предоставление персональных данных – действия, направленные на раскрытие персональных данных
определенному лицу или определенному кругу лиц.
Блокирование персональных данных – временное прекращение обработки персональных данных (за
исключением случаев, если обработка необходима для уточнения персональных данных).
Уничтожение персональных данных – действия, в результате которых становится невозможным восстановить
содержание персональных данных в информационной системе персональных данных и (или) в результате которых
уничтожаются материальные носители персональных данных.
Обезличивание персональных данных – действия, в результате которых становится невозможным без использования
дополнительной информации определить принадлежность персональных данных конкретному субъекту
персональных данных.
Информационная система персональных данных – совокупность содержащихся в базах данных персональных
данных и обеспечивающих их обработку информационных технологий и технических средств.
Трансграничная передача персональных данных – передача персональных данных на территорию иностранного
государства органу власти иностранного государства, иностранному физическому лицу или иностранному
юридическому лицу.
10
Федеральный закон от 27 июля 2006 г. №152-ФЗ «О персональных данных»
11. Термины и определения
Доступ к информации (доступ) – ознакомление с информацией, ее обработка, в
частности копирование, модификация или уничтожение информации.
Технический канал утечки информации (ТКУИ) – совокупность объекта технической
разведки, физической среды распространения информативного сигнала и
средств, которыми добывается защищаемая информация.
Несанкционированный доступ (НСД) – доступ к информации или действия с
информацией, нарушающие правила разграничения доступа с использованием
штатных средств, предоставляемых СВТ или АС.
Правила разграничения доступа – совокупность правил, регламентирующих права
доступа субъектов доступа к объектам доступа.
Субъект доступа – лицо или процесс, действия которого регламентируются
правилами разграничения доступа.
11
Государственные нормативно-правовые акты
12. Термины и определения
Ресурс информационной системы – именованный элемент
системного, прикладного или аппаратного обеспечения
функционирования информационной системы.
Дискреционная модель доступа - права доступа задаются матрицей
доступа, элементами которой являются разрешенные права доступа
субъекта к объекту.
Мандатная модель доступа - каждому субъекту и каждому объекту
ставятся в соответствие специальные классификационные метки.
12
Государственные нормативно-правовые акты
14. Защита информации
Защита информации – предотвращение утечки защищаемой информации,
несанкционированных и непреднамеренных воздействий на защищаемую информацию.
Правовая защита информации – защита информации правовыми методами,
включающая в себя разработку законодательных и нормативных правовых документов
(актов), регулирующих отношения субъектов по защите информации, применение этих
документов (актов), а также надзор и контроль за их исполнением.
Техническая защита информации – защита информации, заключающаяся в обеспечении
некриптографическими методами безопасности информации (данных), подлежащей
(подлежащих) защите в соответствии с действующим законодательством, с применением
технических, программных и программно-технических средств.
Криптографическая защита информации – защита информации с помощью ее
криптографического преобразования.
Физическая защита информации – защита информации путем применения
организационных мероприятий и совокупности средств, создающих препятствия для
проникновения или доступа неуполномоченных физических лиц к объекту защиты.
14
ГОСТ Р 50922-2006 «Защита информации. Основные термины и определения»"
15. Информационная безопасность
Угроза – совокупность условий и факторов, которые могут стать
причиной нарушения целостности, доступности,
конфиденциальности.
Уязвимость – внутренние свойства объекта, создающие
восприимчивость к воздействию источника риска, которое может
привести к какому-либо последствию.
Атака – попытка преодоления системы защиты информационной
системы.
Безопасность информации – состояние защищенности
информации, при котором обеспечены ее конфиденциальность,
доступность и целостность.
15
ГОСТ Р 53114-2008 «Защита информации. Обеспечение информационной безопасности в организации. Основные термины и определения»
16. Информационная безопасность
Безопасность информационной технологии – состояние защищенности
информационной технологии, при котором обеспечиваются безопасность
информации, для обработки которой она применяется, и информационная
безопасность информационной системы, в которой она реализована.
Информационная безопасность организации – состояние защищенности
интересов организации в условиях угроз в информационной сфере.
Политика информационной безопасности – формальное изложение правил
поведения, процедур, практических приемов или руководящих принципов в области
информационной безопасности, которыми руководствуется организация в своей
деятельности.
Цель информационной безопасности – заранее намеченный результат
обеспечения информационной безопасности организации в соответствии с
установленными требованиями в политике информационной безопасности.
16
ГОСТ Р 53114-2008 «Защита информации. Обеспечение информационной безопасности в организации. Основные термины и определения»
17. Спасибо за внимание!
Семченко Павел Николаевич, к.т.н.
pavelsemch@hotmail.com
http://spn-solutions.ru
+79621508988
17