Информационная безопасность в защищенной корпоративной сети передачи данных (ЗКСПД) 2010 г. Начальник отдела по информационной безопасности ФГУ ФЦТ Начальник отдела по информационной безопасности ФГУ ФЦТ Андрианов Олег Эрнстович
27 июля 2006 г.Федеральный закон 149-ФЗ «Об информации информационных технологиях и о защите информации» 27 июля 2006 г.Федеральный закон 152-ФЗ «О персональных данных» 17 ноября 2007 г.Постановление Правительства России 781 «Положение об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных» 13 февраля 2008 г.Приказ ФСТЭК, ФСБ и МинИнформсвязи России 55/86/20 «Об утверждении Порядка проведения классификации информационных систем персональных данных» Основные руководящие документы
15 февраля 2008 г.ФСТЭК «Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных» 15 февраля 2008 г.ФСТЭК «Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных» 27 декабря 2009 г.Федеральный закон 363-ФЗ «О внесении изменений в статьи 19 и 25 Федерального закона «О персональных данных»» 5 февраля 2010 г.Приказ ФСТЭК 58 «Об утверждении положения о методах и способах защиты информации в информационных системах защиты персональных данных»
Чем интересен Приказ ФСТЭК 58? 1.В отличие от методических документов ФСТЭК, данный документ является нормативно-правовым актом. Документ зарегистрирован в Минюсте РФ 19 февраля 2010 г. Действует с 16 марта 2010 г. 2.Приказ отменяет применение с 15 марта 2010 г. следующих документов: - «Основные мероприятия по организации и техническому обеспечению безопасности персональных данных, обрабатываемых в информационных системах персональных данных»; - «Рекомендации по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных».
Методы и способы защиты информации применяемые в ЗКСПД ограничение доступа пользователей в помещения, где размещены технические средства, позволяющие осуществлять обработку персональных данных, а также хранятся носители информации; разграничение доступа пользователей и обслуживающего персонала к информационным ресурсам, программным средствам обработки (передачи) и защиты информации; регистрация действий пользователей и обслуживающего персонала, контроль несанкционированного доступа и действий пользователей, обслуживающего персонала и посторонних лиц; учет и хранение съемных носителей информации и их обращение, исключающее хищение, подмену и уничтожение; использование средств защиты информации, прошедших в установленном порядке процедуру оценки соответствия; использование защищенных каналов связи;
размещение технических средств, позволяющих осуществлять обработку персональных данных, в пределах охраняемой территории; организация физической защиты помещений и собственно технических средств, позволяющих осуществлять обработку персональных данных; использование средств антивирусной защиты; межсетевое экранирование с целью управления доступом, фильтрации сетевых пакетов и трансляции сетевых адресов для скрытия структуры информационной системы; использование смарт-карт и электронных замков для надежной идентификации и аутентификации пользователей; централизованное управление системой защиты персональных данных информационной системы; фильтрация входящих (исходящих) сетевых пакетов по правилам, заданным оператором.
Все это не просто задекларировано, а отражено в следующих документах: Регламент по предоставлению и контролю доступа к информационным ресурсам. Инструкция администратора информационной безопасности. Регламент по мониторингу событий информационной безопасности. Инструкция администратора по обеспечению антивирусной защиты. Инструкция администратора по обеспечению защиты от несанкционированного доступа. Регламент обеспечения непрерывности функционирования ИСПДн. Регламент реагирования на инциденты ИБ.
Инструкция по внесению изменений в конфигурацию технических и программных средств. Инструкция пользователя по обеспечению безопасности ПДн. Инструкция по внесению изменений в списки пользователей и наделению их полномочиями доступа к ресурсам. Матрица доступа пользователей. Регламент по мониторингу событий информационной безопасности. Перечень защищаемых ресурсов. Положение об обработке и обеспечению безопасности ПДн. Программа и методика периодического тестирования СЗИ. Списки лиц, допущенных к защищаемым помещениям.
Регламент мониторинга событий ИБ. Регламент обеспечения антивирусной защиты. Регламент обеспечения сетевой безопасности. Регламент обращения со съемными носителями информации. Регламент по обеспечению режима доступа в помещения.
Таким образом «абстрактные» требования законодательства приобретают вполне конкретные очертания. Несмотря на довольно большое количество документов, в той или иной степени регламентирующих вопросы информационной безопасности не все так сложно, как кажется. Своим опытом по построению защищенных сетей поделятся представители Ставропольского края. Опытом по подготовке и проведению аттестации – коллеги из РЦОИ Республики Карелия.
По итогам выборочного анализа материалов проверок установлено, что Операторами в большей степени допускаются нарушения требований части 3, части 7 статьи 22 Федерального закона в части несоответствия сведений, указанных в уведомлении об обработке персональных данных, фактической деятельности; части 1 статьи 6 Федерального закона - при обработке персональных данных без согласия субъектов персональных данных.
Контактная информация тел факс