Корт С.С., СПбГПУ. Приказ ФСТЭК России от 5.02.2010 58 Отсутствие требований по применению сертифицированных средств защиты Изъятие требований по лицензированию.

Презентация:



Advertisements
Похожие презентации
1 Критерии и классы защищенности средств вычислительной техники и автоматизированных систем Подготовила: студентка гр.И-411 Сартакова Е.Л.
Advertisements

Центр безопасности информации Оценка соответствия ИСПДн различных классов требованиям безопасности ПДн.
Опыт успешного прохождения проверки Роскомнадзора по защите персональных данных. Анализ технических мер защиты персональных данных. Оптимизация затрат.
Стандарты по оценке защитных систем. стандарты и спецификации двух разных видов: оценочные стандартов, направленные на классификацию информационных систем.
Требования и методы защиты персональных данных ООО "МКЦ "АСТА-информ", (351) ,
Практический опыт реализации требований по защите персональных данных МУ Информационно-методический центр Ходячих Андрей Викторович.
М.Ю.Емельянников Заместитель коммерческого директора НИП «ИНФОРМЗАЩИТА» Защита персональных данных: алгоритм для законопослушных банков ИНФОРМАЦИОННАЯ.
Требования к доверенной третьей стороне в интегрированной информационной системе Евразийского экономического союза.
ЗАЩИТА ПЕРСОНАЛЬНЫХ ДАННЫХ в информационных системах операторов связи.
Защита персональных данных: основные аспекты. Федеральный закон от 27 июля 2006 г. 152-ФЗ «О персональных данных» Персональные данные (ПДн) Кто? От кого?
В соответствии со статьей 19 Федерального закона «О персональных данных» Правительство Российской Федерации постановляет: Положение об обеспечении 1.
Работа с перс. данными на примере облачного ПО для банковского и страхового сектора Макеева Анна, ООО «КроСистем»
Центр безопасности информации Процедуры аттестации и сертификации и их взаимосвязь в свете реализации требований 152 ФЗ.
Этапы создания системы защиты персональных данных СПЕЦИАЛЬНЫЕ ВЫЧИСЛИТЕЛЬНЫЕ КОМПЛЕКСЫ Научно-производственное предприятие.
Защита персональных данных Обязанности оператора автоматизированной информационной системы по защите персональных данных.
Защита персональных данных в информационных системах 24 ноября 2010 года.
Федеральный закон о персональных данных. Необходимо: 1.Получать разрешение на обработку и передачу персональных данных. 2.Уведомлять РОСКОМНАДЗОР о том,
Проведение мониторинга технического обеспечения и соблюдения норм информационной безопасности в региональных центрах обработки информации субъектов Российской.
Защита персональных данных на базе типовых решений ЭЛВИС-ПЛЮС © ОАО «ЭЛВИС-ПЛЮС», 2008 г.
Основные мероприятия по организации обеспечения безопасности персональных данных Выполнила студентка группы 11 инф 112: Анянова Радослава.
Транксрипт:

Корт С.С., СПбГПУ

Приказ ФСТЭК России от Отсутствие требований по применению сертифицированных средств защиты Изъятие требований по лицензированию деятельности шифрование Есть противоречия!!!

Сертификация сертификации на соответствие 4 уровню контроля отсутствия НДВ средств защиты информации, используемых в ИСПДн 1 класса прочие средства защиты должны также проходить процедуру оценки соответствия, одной из форм которой является сертификация («на ТУ»)

Модификация ПБ и системы защиты Эволюционная Революционная

Классификация информационных систем ПД категория персональных данных (1-4) объем персональных данных До субъектов П Дн субъектов ПДн Более субъектов ПДн Категория ПДнКласс системы 4К4 3К3 К2 2К3К2К1 1

Минимизация затрат 1) Изменение категории и объема ИСПДн. 2) Структурирование (сегментация и объединение) ИСПДн. Позволяет минимизировать объем ПД в ИСПДн. 3) Выделить обработку и хранение ПД в отдельную комнату 4) Отключить ИСПДн от глобальной сети 5) Минимизация затрат за счет существующих в ПБ решений по защите информации.

Изменение категории ПД Обезличивание Перевод в категорию общедоступных данных Отделение данных, позволяющих идентифицировать субъект ПД, от данных, позволяющих получить о нем дополнительную информацию Отказ от сбора части информации

Изменение объема ПД Дробление ИС на подсистемы с меньшим объемом Введение понятия «время жизни ПД» Организация архивов без использования средств автоматизации

Организационные меры по ЗПД. разработка организационно – распорядительных документов, регламентирующих весь процесс получения, обработки, хранения, передачи и защиты персональных данных перечень мероприятий по защите персональных данных

Категория K3 – меры защиты а) управление доступом: идентификация и проверка подлинности пользователя при входе в систему по паролю условно-постоянного действия длинной не мене шести буквенно-цифровых символов – настройка существующих механизмов б) регистрация и учет: регистрация входа (выхода) пользователя в систему (из системы) либо регистрация загрузки и инициализации операционной системы и ее программного останова – настройка существующих механизмов.

Категория K3 – меры защиты в) учет всех защищаемых носителей информации с помощью их маркировки и занесение учетных данных в журнал учета с отметкой об их выдаче (приеме) – надо реализовать, существуют решения с открытым кодом г) обеспечение целостности программных средств системы ЗПД, обрабатываемой информации, а также неизменность программной среды - – надо реализовать, существуют решения с открытым кодом; архитектурные решения

Категория K3 – меры защиты д) физическая охрана информационной системы (устройств и носителей информации), предусматривающая контроль доступа в помещения информационной системы посторонних лиц, наличие надежных препятствий для несанкционированного проникновения в помещения информационной системы и хранилище носителей информации надо реализовать; е) периодическое тестирование функций системы защиты персональных данных при изменении программной среды и пользователей информационной системы с помощью тест- программ, имитирующих попытки несанкционированного доступа – надо реализовать; ж) наличие средств восстановления системы ЗПД, предусматривающих ведение двух копий программных компонент средств защиты информации, их периодическое обновление и контроль работоспособности.

Категория K3 – меры защиты д) физическая охрана информационной системы (устройств и носителей информации), предусматривающая контроль доступа в помещения информационной системы посторонних лиц, наличие надежных препятствий для несанкционированного проникновения в помещения информационной системы и хранилище носителей информации надо реализовать; е) периодическое тестирование функций системы защиты персональных данных при изменении программной среды и пользователей информационной системы с помощью тест-программ, имитирующих попытки несанкционированного доступа – надо реализовать; ж) наличие средств восстановления системы ЗПД, предусматривающих ведение двух копий программных компонент средств защиты информации, их периодическое обновление и контроль работоспособности – надо реализовать;. з) безопасное межсетевое взаимодействие распределенных информационных систем – надо реализовать;

Проверить существующие решения на соответствие ЗПД 1) Экранные формы 2) Обработка электронной почты 3) Данные на сайтах