ВОПРОСЫ безопасности информации при информационном обеспечении деятельности Единых информационно- расчётных центров

ОБЪЕКТЫ ЗАЩИТЫ АСУ ЕИРЦ Типы и наименование защищаемых информационных ресурсов Нормативно-справочная информация Алгоритмы и методики расчётов Справочники и классификаторы Информационные ресурсы (БД) ЕИРЦ ПЕРСОНАЛЬНЫЕ ДАННЫЕ

НАПРАВЛЕНИЯ ЗАЩИТЫ ИНФОРМАЦИИ Правовая защита Правовая защита Специальные правовые акты, правила, процедуры и мероприятия, обеспечивающие защиту информации на правовой основе Организационная защита Организационная защита Регламентация производственной деятельности исполнителей на нормативно-правовой основе, исключающая нанесение ущерба Техническая защита Техническая защита Использование различных инженерных, аппаратных, программно- аппаратных и программных средств, препятствующих нанесению ущерба

Структура правовых актов, ориентированных на правовую защиту информации 1. Конституционное законодательство 2. Общие законы, кодексы 3. Законы об организации управления, касающиеся отдельных структур хозяйства, экономики, системы государственных органов и определяющие их статус 4. Специальные законы 5. Законодательство субъектов Российской Федерации, касающееся защиты информации 6. Подзаконные нормативные акты по защите информации 7. Правоохранительное законодательство ФОРМИРОВАНИЕ ПРЕДЛОЖЕНИЙ

Предлагаемые изменения в закон «О персональных данных» Статья 6. Условия обработки персональных данных Согласие субъекта персональных данных … не требуется в следующих случаях: …. 5) обработка персональных данных необходима для доставки почтовых отправлений организациями почтовой связи, для осуществления операторами электросвязи расчетов с пользователями услуг связи за оказанные услуги связи, а также для рассмотрения претензий пользователей услугами связи ДОПОЛНИТЬ пунктом 8) обработка персональных данных необходима для осуществления операторами расчетов с пользователями жилищно-коммунальных услуг за оказанные жилищно-коммунальных услуги, а также для рассмотрения претензий пользователей жилищно-коммунальных услуг

Предлагаемые изменения в Постановление Правительства РФ от г Для разработки и осуществления мероприятий по обеспечению безопасности персональных данных при их обработке в информационной системе оператором или уполномоченным лицом может назначаться структурное подразделение или должностное лицо (работник), ответственные за обеспечение безопасности персональных данных. 13. Для разработки и осуществления мероприятий по обеспечению безопасности персональных данных при их обработке в информационной системе оператором или уполномоченным лицом должно назначаться структурное подразделение или должностное лицо (работник), ответственные за обеспечение безопасности персональных данных.

Необходимые изменения в законодательстве субъекта Российской Федерации – города Москвы «Положение о порядке использования автоматизированной системы управления «Информационное обеспечение деятельности ЕИРЦ» (АСУ ЕИРЦ), введённое Постановлением Правительства Москвы от 28 февраля 2006 г. 132-ПП Необходимы изменения, связанные в вступлением в действие «Закона о персональных данных»

Необходимые изменения в подзаконные нормативные акты по защите информации Документы Политики информационной безопасности Правительства Москвы Необходима переработка в связи с в вступлением в действие «Закона о персональных данных» и выходом РД ФСТЭК России, ФСБ России по безопасности персональных данных

ОРГАНИЗАЦИОННАЯ ЗАЩИТА Организация работы по анализу угроз - э то регламентация производственной деятельности и взаимоотношений исполнителей на нормативно-правовой основе, исключающей или существенно затрудняющей неправомерное овладение конфиденциальной информацией Организация использования технических средств Организация работы с документами Организация режима и охраны Организация работы с сотрудниками Центр обработки данных (ЦОД) ЕИРЦ (Центр «Горинфотех») Штатный отдел ИБ Государственные учреждения инженерные службы (ГУ ИС): ГУ «ИС г. Москвы» ГУ ИС административных округов ГУ ИС районов Внештатные ответственные за обеспечение ИБ от ГУ ИС Сопроводители в ГУ ИС районов от ЦОД

создание специальных штатных служб (подразделений) по защите информации; создание специальных штатных служб (подразделений) по защите информации; организация работ по разработке системы защиты информации; организация работ по разработке системы защиты информации; ограничение доступа на объект и к ресурсам АСУ; ограничение доступа на объект и к ресурсам АСУ; разграничение доступа к ресурсам АСУ; разграничение доступа к ресурсам АСУ; планирование мероприятий по ЗИ; планирование мероприятий по ЗИ; разработка документации по ЗИ; разработка документации по ЗИ; обучение обслуживающего персонала и пользователей; обучение обслуживающего персонала и пользователей; сертификация средств ЗИ; сертификация средств ЗИ; лицензирование деятельности по ЗИ; лицензирование деятельности по ЗИ; аттестация объектов защиты; аттестация объектов защиты; совершенствование системы ЗИ; совершенствование системы ЗИ; оценка эффективности функционирования ЗИ; оценка эффективности функционирования ЗИ; контроль выполнения установленных правил работы в АСУ контроль выполнения установленных правил работы в АСУ Основные мероприятия организационной защиты :

Необходимость создания подразделений (служб) по защите информации 1. Законы РФ N 149-ФЗ и 152-ФЗ (от ) обязывают организацию-оператора принимать меры и обеспечивать защиту информации. 2. Оргштатная структура подавляющей части операторов (ГУ ИС) - не предусматривает специалистов по защите информации 3. Большой перечень организационных мероприятий по защите информации для операторов

Структура ГУ ИС района

Структура ГУ ИС административного округа

Рекомендуемая структура подразделения по защите информации Организационно- плановая группа (специалист(ы) Руководитель предприятия Руководитель подразделения по защите информации Специалист(ы) по защите информации в АС от утечки за счет НСД Группа (специалист(ы) средств защиты Группа (специалист(ы) контроля Специалист(ы) по защите информации от утечки по каналам ПЭМИН Аналитическая группа (специалист(ы) Специалист(ы) по аттестации объектов информатизации

Состав документации на систему защиты информации АСУ ЕИРЦ Акт классификации АСУ ЕИРЦ ЧТЗ и дополнение к ЧТЗ на создание СЗИ ПРЕДПРОЕКТНАЯ СТАДИЯ Аналитическое обоснование необходимости создания СЗИ Перечень устанавливаемых ОТСС и ВТСС СТАДИЯ ПРОЕКТИРОВАНИЯ Технический проект на создание СЗИ Описание технического, программного, информационного обеспечения и технологии обработки (передачи) информации СТАДИЯ ВВОДА В ЭКСПЛУАТАЦИЮ Приемо-сдаточный акт средств ЗИАкты внедрения средств ЗИ Протоколы аттестационных испытаний и заключение по их результатам Аттестат соответствия АСУ ЕИРЦ требованиям по безопасности информации Документация по защите информации на аттестованные объекты информатизации

Функциональные подсистемы СЗИ Подсистема управления доступом Подсистема управления доступом Подсистема регистрации и учета Подсистема регистрации и учета Подсистема обеспечения целостности Подсистема обеспечения целостности Подсистема обнаружения вторжений Подсистема обнаружения вторжений Подсистема антивирусной защиты Подсистема антивирусной защиты Подсистема межсетевого экранирования Подсистема межсетевого экранирования Подсистема криптографической защиты Подсистема криптографической защиты

Автоматизированные системы, с которыми необходима интеграция Автоматизированная система управления «Объединенная диспетчерская служба Департамента жилищно-коммунального хозяйства города Москвы» с учетом справочно-информационной службы (портала) (функции регистрации обращений граждан и подготовки ответов при обращении в единую диспетчерскую ДЖКХиБ); Официальный портал Государственного учреждения города Москвы «Инженерная служба города Москвы» (функции предоставления доступа жителям города Москвы к Личному кабинету и возможности дистанционной сдачи показаний квартирных приборов учета и получения Единых платежных документов) Автоматизированная информационная система «Жилищные субсидии и возмещение выпадающих доходов от льгот» (АИС ЖСЛ) (функции расчета субсидий и выпадающих доходов от льгот); Автоматизированная информационная система «Учет граждан, имеющих право на социальную поддержку при оплате жилых помещений и коммунальных услуг» (АИС СПЖКУ) (функции учета граждан); Информационная система «одно окно», включающая в себя универсальную систему обработки обращений и модуль «Электронная приемная города Москвы».

Наши координаты: ООО «Центр «Городские информационные технологии» Адрес: Москва, ул. 3-я Фрунзенская, д.9 Адрес: Москва, ул. 3-я Фрунзенская, д.9 Телефон: 8 (495) Телефон: 8 (495) Факс: 8 (499) Факс: 8 (499)