Некоторые вопросы обеспечения информационной безопасности в учреждениях здравоохранения Начальник аналитического отдела ООО «Стандарт безопасности» Дмитрий Мурин
Освещаемые вопросы Для чего нужны средства защиты информации (почему их так много???) Проведение ФСБ России мероприятий по контролю за выполнением требований по обеспечению безопасности персональных данных Обзор готовящихся к выходу (разрабатываемых) документов в области обеспечения безопасности персональных данных
Система защиты информации подсистема управления доступом; подсистема регистрации и учета; подсистема обеспечения целостности; подсистема межсетевого экранирования; подсистема криптографической защиты; подсистема антивирусной защиты; подсистема анализа защищенности; подсистема централизованного управления
Подсистема управления доступом ТОЛЬКО СУБЪЕКТ, ОБЛАДАЮЩИЙ ПРАВОМ, МОЖЕТ ЕГО РЕАЛИЗОВАТЬ
Подсистема регистрации и учета ВСЕ, ЧТО ПРОИСХОДИТ, НЕ ДОЛЖНО ПРОЙТИ НЕЗАМЕЧЕННЫМ
Подсистема обеспечения целостности НЕПРЕДУСМОТРЕННЫЕ ИЗМЕНЕНИЯ ДАННЫХ И ПРОГРАММНОГО КОДА НЕДОПУСТИМЫ
Подсистема межсетевого экранирования НИКТО НЕ ДОЛЖЕН ВОЙТИ В СЕТЬ (ВЫЙТИ ИЗ СЕТИ) БЕЗ ВАШЕГО РАЗРЕШЕНИЯ
Подсистема криптографической защиты ВСЕ, ЧТО ВЫХОДИТ ЗА ГРАНИЦЫ, ДОЛЖНО БЫТЬ ЗАЩИЩЕНО НЕ МЕНЕЕ НАДЕЖНО
Подсистема антивирусной защиты ВРЕДОНОСНОМУ ПРОГРАММНОМУ ОБЕСПЕЧЕНИЮ НЕТ МЕСТА В ЗАЩИЩЕННОЙ СЕТИ
Подсистема анализа защищенности СИСТЕМА ДОЛЖНА ПОСТОЯННО ПОДВЕРГАТЬСЯ АНАЛИЗУ НА ПРЕДМЕТ ИЗМЕНЕНИЯ НАСТРОЕК БЕЗОПАСНОСТИ И ВЫЯВЛЕНИЯ АКТИВНОСТИ НАРУШИТЕЛЯ
Подсистема централизованного управления ПРОСТОТА, ОПЕРАТИВНОСТЬ, ЕДИНЫЕ ПРИНЦИПЫ УПРАВЛЕНИЯ ДЕЛАЮТ СИСТЕМУ ЗАЩИТЫ НАДЕЖНЕЙ, ЭФФЕКТИВНЕЙ, ДЕШЕВЛЕ
Проведение ФСБ России мероприятий по контролю Типовой регламент проведения в пределах полномочий мероприятий по контролю (надзору) за выполнением требований, установленных Правительством РФ, к обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, утвержденный ФСБ России 8 августа 2009 г. 149/7/2/6-1173
Проверяется выполнение требований следующих документов Федеральный закон РФ от 27 июля 2006 г. 152-ФЗ «О персональных данных»; Постановление Правительства РФ от 17 ноября 2007 г. 781 «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных»; Постановление Правительства РФ от 6 июля 2008 г. 512 «Об утверждении требований к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных»; Постановление Правительства РФ от 29 декабря 2007 г. 957 «Об утверждении положений о лицензировании отдельных видов деятельности, связанных с шифровальными (криптографическими) средствами»;
Проверяется выполнение требований следующих документов Приказ ФСБ России от 9 февраля 2005 г. 66 «Об утверждении Положения о разработке, производстве, реализации и эксплуатации шифровальных (криптографических) средств защиты информации (Положение ПКЗ-2005); Методические рекомендации по обеспечению с помощью криптосредств безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств автоматизации, 149/54-144, 2008 г.; Типовые требования по организации и обеспечению функционирования шифровальных (криптографических) средств, предназначенных для защиты информации, не содержащей сведений, составляющих государственную тайну в случае их использования для обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных, 149/6/6-622, 2008 г.
Возможны апелляции к документу Приказ ФАПСИ РФ от 13 июня 2001 г. 152 «Об утверждении инструкции об организации и обеспечении безопасности хранения, обработки и передачи по каналам связи с использованием средств криптографической защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну»
Наиболее интересные проверяемые требования Выполнение рекомендаций ФСБ России по вопросам организации связи с использованием криптосредств. Наличие документов по поставке СКЗИ оператору. Наличие сертификатов соответствия на используемые СКЗИ. Наличие эксплуатационной документации на СКЗИ (формуляров, правил работы, руководств оператора и т.п.). Выявление несертифицированных ФСБ России (ФАПСИ) СКЗИ. Организация процесса обучения лиц, использующих СКЗИ.
Что запрашивается при проверке СКЗИ. Программное обеспечение СКЗИ (дистрибутив). Модель угроз безопасности ПДн. Модель нарушителя. Документы по поставке СКЗИ оператору. Лицензии и сертификаты на используемые СКЗИ. Эксплуатационная документация на СКЗИ. Список лиц, допущенных к работе с СКЗИ. Список лиц, ответственных за обеспечение безопасности персональных данных. Документы, подтверждающие функциональные обязанности сотрудников.
Что запрашивается при проверке Журнал учета пользователей криптосредств. Документы, подтверждающие прохождение обучения сотрудников. Акты ввода СКЗИ в эксплуатацию. Технический (аппаратный) журнал. Журнал поэкземплярного учета СКЗИ. Журнал учета и выдачи носителей с ключевой информацией. Журнал сдачи помещений под охрану. Лицевые счета пользователей СКЗИ. Журнал учета хранилищ. Инструкция по восстановлению связи в случае компрометации действующих ключей к СКЗИ.
Обзор готовящихся к выходу документов Постановление Правительства РФ «Об установлении уровней защищенности персональных данных при их обработке в информационных системах персональных данных в зависимости от угроз безопасности этих данных» Постановление Правительства РФ «О требованиях к защите персональных данных при их обработке в информационных системах персональных данных, исполнение которых обеспечивает установленные уровни защищенности персональных данных»
Обзор готовящихся к выходу документов Требования и методы обезличивания персональных данных, обрабатываемых в информационных системах персональных данных, в том числе созданных и функционирующих в рамках реализации федеральных целевых программ
ООО «Стандарт безопасности» г. Ярославль, ул. Угличская, д. 39В, офис 211 тел.: (4852) факс: Слайд вопросов и комментариев