ЮГОРСКИЙ НИИ ИНФОРМАЦИОННЫХ ТЕХНОЛОГИЙ КОМПЛЕКСНЫЙ ПОДХОД К СОЗДАНИЮ СИСТЕМЫ ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ В ОРГАНИЗАЦИЯХ.

Презентация:

Advertisements

Похожие презентации

Этапы создания системы защиты персональных данных СПЕЦИАЛЬНЫЕ ВЫЧИСЛИТЕЛЬНЫЕ КОМПЛЕКСЫ Научно-производственное предприятие.

Advertisements

Требования и методы защиты персональных данных ООО "МКЦ "АСТА-информ", (351) ,

ВОПРОСЫ ЗАЩИТЫ ИНФОРМАЦИИ И ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ ПРИ ИХ ОБРАБОТКЕ В ИНФОРМАЦИОННЫХ СИСТЕМАХ В СВЯЗИ С ИЗДАНИЕМ ПРИКАЗА ФСТЭК РОССИИ.

ЗАМЕСТИТЕЛЬ ДИРЕКТОРА ФИЛИАЛА ОАО «БИТК» В г. ВОРОНЕЖЕ СЕЛИФАНОВА НАТАЛИЯ НИКОЛАЕВНА ЗАМЕСТИТЕЛЬ ДИРЕКТОРА ФИЛИАЛА ОАО «БИТК» В г. ВОРОНЕЖЕ СЕЛИФАНОВА.

Аттестация по требованиям информационной безопасности Информационных систем персональных данных Попов Игорь Сергеевич Старший консультант ООО «Гелиос Компьютер»

Группа компаний МАСКОМ Компания Digital Security ТЕМА: Выполнение требований 152 ФЗ и PCI DSS в современных информационных системах - эффект синергии Сергей.

Заместитель директора ООО «ИТ Энигма» по информационной безопасности Метальников Александр ОСНОВНЫЕ ВОПРОСЫ РАБОТЫ ИТ- СПЕЦИАЛИСТА ЛПУ ПО ЗАЩИТЕ ПДН.

Защита персональных данных в информационных системах 24 ноября 2010 года.

ЗАЩИТА ПЕРСОНАЛЬНЫХ ДАННЫХ в информационных системах операторов связи.

Практический опыт реализации требований по защите персональных данных МУ Информационно-методический центр Ходячих Андрей Викторович.

Защита персональных данных Изменение законодательства и преемственность организационно-технических решений Сафонов Сергей Александрович заместитель начальника.

Центр безопасности информации Оценка соответствия ИСПДн различных классов требованиям безопасности ПДн.

Приведение информационных систем персональных данных в соответствие требованиям законодательства Российской Федерации Начальник аналитического отдела ООО.

Защита персональных данных на базе типовых решений ЭЛВИС-ПЛЮС © ОАО «ЭЛВИС-ПЛЮС», 2008 г.

Федеральный закон РФ от 27 июля 2006 года 152-ФЗ «О персональных данных»

Персональные данные (ПДн). Организация работы по защите ПДн в образовательном учреждении 14 апреля 2010 года.

УПРАВЛЕНИЕ ИНФОРМАТИЗАЦИИ ГОРОДА МОСКВЫ Организация работы в органах исполнительной власти города Москвы по защите информационных систем, обрабатывающих.

Персональные данные - любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу ( субъекту персональных.

Проведение ведомственных выездных проверок организации защиты персональных данных при их обработке в учреждениях здравоохранения Челябинской области в.

Осенний документооборот 2014 Москва, 17 октября Вопросы информационной безопасности при использовании мобильных устройств для работы с корпоративными информационными.

Транксрипт:

ЮГОРСКИЙ НИИ ИНФОРМАЦИОННЫХ ТЕХНОЛОГИЙ КОМПЛЕКСНЫЙ ПОДХОД К СОЗДАНИЮ СИСТЕМЫ ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ В ОРГАНИЗАЦИЯХ

Изменения в законодательстве ЦЕНТР ТЕХНИЧЕСКОЙ ЗАЩИТЫ ИНФОРМАЦИИ o Постановление Правительства РФ от 1 ноября 2012г o Приказ ФСТЭК России от г. 21 o Приказ ФСТЭК России от г. 17 o Федеральный закон от 27 июля 2006г. 152-ФЗ «О персональных данных» с правками, внесенными Федеральным законом от 25 июля 2011г. 261-ФЗ ЮНИИ ИТ 20132

Изменения в законодательстве ЦЕНТР ТЕХНИЧЕСКОЙ ЗАЩИТЫ ИНФОРМАЦИИ ЮНИИ ИТ Тип ИСПДн Сотрудники оператора Количество субъектов Тип актуальных угроз 123 ИСПДн-СНет Да > < УЗ-1 УЗ-2 УЗ-3 ИСПДн-БУЗ-1УЗ-2УЗ-3 ИСПДн-ИНет Да > < УЗ-1 УЗ-2 УЗ-3 УЗ-4 ИСПДн-ОНет Да > < УЗ-2 УЗ-3 УЗ-4

Изменения в законодательстве (Классы ГИС (Приказ ФСТЭК России 17)) ЦЕНТР ТЕХНИЧЕСКОЙ ЗАЩИТЫ ИНФОРМАЦИИ ЮНИИ ИТ 20134

Приказ ФСТЭК России 21, Приказ ФСТЭК России 17 ЦЕНТР ТЕХНИЧЕСКОЙ ЗАЩИТЫ ИНФОРМАЦИИ ЮНИИ ИТ Приказ ФСТЭК 17Приказ ФСТЭК 21 Для новых или модернизируемых ИС Распространяется на ГИС и МИС Распространяется на Операторов ПДн Обязательная аттестация ИС Проведение оценки эффективности защитных мер Применение сертифицированных СЗИПрименение СЗИ, прошедших процедуру оценки соответствия Определяет порядок классификации ИСПорядок определения УЗ ПДн установлен в ПП 1119 Практически одинаковый набор мер защиты

Приказ ФСТЭК России 21, Приказ ФСТЭК России 17 ЦЕНТР ТЕХНИЧЕСКОЙ ЗАЩИТЫ ИНФОРМАЦИИ o Приказ ФСТЭК России 17 регулирует деятельность по защите государственных информационных систем, в том числе при обработке ПДн o Приказ ФСТЭК России 21 регулирует деятельность ВСЕХ операторов ПДн кроме государственных информационных систем. ЮНИИ ИТ 20136

Основные этапы работ ЦЕНТР ТЕХНИЧЕСКОЙ ЗАЩИТЫ ИНФОРМАЦИИ Аудит информационной системы (Обследование информационной системы, обрабатывающей персональные данные, оценка ее соответствия требованиям нормативных документов по защите персональных данных) Определение актуальных угроз по ПП 1119; Определение уровня защищенности ПДн; Разработка модели угроз безопасности персональных данных и модели нарушителя; Выработка требований по обеспечению безопасности исходя из Приказа ФСТЭК России 21 ЮНИИ ИТ 20137

Основные этапы работ ЦЕНТР ТЕХНИЧЕСКОЙ ЗАЩИТЫ ИНФОРМАЦИИ На основании требований разработка Технического задания и/или Технического проекта на создание системы защиты персональных данных Разработка проектов организационно-распорядительной документации Поставка и внедрение технических средств защиты информации Опытная эксплуатация СЗПДн Оценка соответствия информационной системы, обрабатывающей персональные данные, требованиям по безопасности информации ЮНИИ ИТ 20138

Основные этапы работ ЦЕНТР ТЕХНИЧЕСКОЙ ЗАЩИТЫ ИНФОРМАЦИИ Сопровождение СЗПДн ЮНИИ ИТ 20139

Сопровождение ЦЕНТР ТЕХНИЧЕСКОЙ ЗАЩИТЫ ИНФОРМАЦИИ ЮНИИ ИТ обход всех автоматизированных рабочих мест пользователей и серверов информационной системы (проверка журналов и настроек средств защиты информации) переустановка средств защиты информации, сопровождение работ, выполняемые другими специалистами по модификации аппаратно-программного обеспечения и восстановлению данных поддержка состава и содержания организационно-распорядительных документов, направленных на обеспечение безопасности информации обрабатываемой в информационной системе (корректировка списка актуальных угроз, матрицы доступа, технического паспорта ИСПДн, инструкций и описания технологического процесса обработки информации, проверка журналов учета и т.д.) проведение ежегодных работ по оценки эффективности системы защиты информации с использованием средств контроля защищенности, контрольно- измерительного и испытательного оборудования проведение учебных семинаров по вопросам обеспечения безопасности информации

Заметки ЦЕНТР ТЕХНИЧЕСКОЙ ЗАЩИТЫ ИНФОРМАЦИИ ЮНИИ ИТ Основные факторы влияющие на процесс разработки, внедрения и сопровождения СЗИ Отсутствие комплексного и системного подхода к формированию СЗИ Недопонимание со стороны руководства и сотрудников организации важности решения задачи по обеспечению защиты информации Технологический процесс обработки информации в ИС недокументирован Применяемые меры воздействия незначительны Несовершенство и сложность нормативно-правовой базы Сложность выбора средств защиты информации, особенно для ИС, в которых используется неоднородное программного и технического обеспечения Отсутствие специалистов в области защиты информации Недостаточное финансирование выполнения работ

Заметки ЦЕНТР ТЕХНИЧЕСКОЙ ЗАЩИТЫ ИНФОРМАЦИИ ЮНИИ ИТ Рекомендации по организации процесса создания СЗПДн (минимизация расходов, сроков создания, повышения эффективности) Привлечение для выполнения работ специализированной организации, особенно на этапе обследования Разработка плана проекта создания СЗИ (перечень работ, расписание, стоимость, коммуникация, исполнители, риски, интеграция) Приведение разъяснительной работы среди сотрудников организации о важности обеспечения защиты информации Обучение сотрудников организации (выполнение организационно- распорядительной документации), проверка эффективности СЗИ К реализации проектов создания СЗИ нужно как минимум приступать вчера

Документы ЦЕНТР ТЕХНИЧЕСКОЙ ЗАЩИТЫ ИНФОРМАЦИИ лицензия ФСБ России (регистрационный номер 251 от г.) перечень работ определен Постановлением Правительства РФ от лицензия ФСТЭК России (регистрационный номер 1903 от г.) перечень работ определен Постановление Правительства РФ от согласованная с ФСБ и ФСТЭК России учебная программа «Обеспечение безопасности персональных данных при их обработке в информационных системах персональных данных» ЮНИИ ИТ

Наши заказчики ЦЕНТР ТЕХНИЧЕСКОЙ ЗАЩИТЫ ИНФОРМАЦИИ Администрация Нефтеюганского района Администрация г. Нижневартовска Администрация г. Ханты-Мансийска Администрация Ханты-Мансийского района Администрация Октябрьского района Администрация г. Югорска Департамент труда и занятости населения ХМАО-Югры ЮНИИ ИТ

Наши заказчики ЦЕНТР ТЕХНИЧЕСКОЙ ЗАЩИТЫ ИНФОРМАЦИИ Департамент финансов ХАО-Югры Администрация Нижневартовского района Департамент информационных технологий ХМАО-Югры Ханты-мансийский негосударственный пенсионный фонд МФЦ г. Пыть-Ях МФЦ г. Нижневартовска ЮНИИ ИТ

Наши заказчики ЦЕНТР ТЕХНИЧЕСКОЙ ЗАЩИТЫ ИНФОРМАЦИИ МФЦ г. Урая МФЦ г. Нягань МФЦ Нефтеюганского района Администрация г. Когалыма ЮНИИ ИТ

ЮГОРСКИЙ НИИ ИНФОРМАЦИОННЫХ ТЕХНОЛОГИЙ СПАСИБО ЗА ВНИМАНИЕ Контакты: