Практический опыт реализации требований по защите персональных данных Сидак А.А. Директор Департамента систем информационной безопасности Центр безопасности.

Презентация:

Advertisements

Похожие презентации

Практический опыт реализации требований по защите персональных данных МУ Информационно-методический центр Ходячих Андрей Викторович.

Advertisements

Программный комплекс I-PROTECT автор: Оболонский М.О.

«Проблемы защиты персональных данных в информационных системах Тамбовского ГТУ» в информационных системах Тамбовского ГТУ» Тамбов, 23 апреля 2009 года.

Центр безопасности информации Процедуры аттестации и сертификации и их взаимосвязь в свете реализации требований 152 ФЗ.

Центр безопасности информации Оценка соответствия ИСПДн различных классов требованиям безопасности ПДн.

Защита персональных данных в АИБС МАРК. Нормативные требования Закон 152-ФЗ «О персональных данных» Постановление Правительства 781 «положение об обеспечении.

2-3 февраля 2010 г. Обеспечение безопасности персональных данных в информационных системах образовательных учреждений Хорев П.Б., РГСУ.

Тема доклада: Нормативное регулирование в области информационной безопасности и защиты персональных данных на предприятиях Язов Юрий Константинович Главный.

ЗАЩИТА ПЕРСОНАЛЬНЫХ ДАННЫХ в информационных системах операторов связи.

В соответствии со статьей 19 Федерального закона «О персональных данных» Правительство Российской Федерации постановляет: Положение об обеспечении 1.

Обеспечение информационной безопасности в автоматизированной системе учета населения города Нижнего Новгорода 8-ая межрегиональная научно-практическая.

Текущая ситуация Законодательство, нормативы ФЕДЕРАЛЬНЫЙ ЗАКОН РОССИЙСКОЙ ФЕДЕРАЦИИ ОТ 27 ИЮЛЯ 2006 Г. 152-ФЗ «О ПЕРСОНАЛЬНЫХ ДАННЫХ» ПОСТАНОВЛЕНИЕ ПРАВИТЕЛЬСТВА.

Защита персональных данных на базе типовых решений ЭЛВИС-ПЛЮС © ОАО «ЭЛВИС-ПЛЮС», 2008 г.

Организация работ по технической защите информационных систем персональных данных Слётова Елена Вячеславовна специалист отдела внедрения систем информационной.

Выполнение требований федерального законодательства в области защиты информации. Практические аспекты Новиков Дмитрий Владимирович Тел. +7 /495/

Сертификация СЭД на соответствие Закону «О персональных данных» Алексей Сидак, Центр безопасности информации Андрей Гриб, компания БОСС-Референт.

Заместитель директора ООО «ИТ Энигма» по информационной безопасности Метальников Александр ОСНОВНЫЕ ВОПРОСЫ РАБОТЫ ИТ- СПЕЦИАЛИСТА ЛПУ ПО ЗАЩИТЕ ПДН.

Информационная безопасность в защищенной корпоративной сети передачи данных (ЗКСПД) 2010 г. Начальник отдела по информационной безопасности ФГУ ФЦТ Начальник.

Обеспечение информационной безопасности при подготовке и проведении единого государственного экзамена в 2012 году Начальник отдела по информационной безопасности.

Проведение ведомственных выездных проверок организации защиты персональных данных при их обработке в учреждениях здравоохранения Челябинской области в.

Транксрипт:

Практический опыт реализации требований по защите персональных данных Сидак А.А. Директор Департамента систем информационной безопасности Центр безопасности информации

Нормативная база по защите ПДн Федеральный закон от 27 июля 2006 г. 152-ФЗ «О персональных данных» Положение об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных Постановление правительства РФ от г Порядок проведения классификации информационных систем персональных данных Приказы ФСТЭК России, ФСБ России, Мининформсвязи России от 13 февраля 2008 г. 55/86/20 Нормативные документы ФСТЭК России Нормативные документы ФСБ России Основные мероприятия по организации и техническому обеспечению безопасности ПДн, обрабатываемых в информационных системах ПДн Рекомендации обеспечению безопасности ПДн при их обработке в информационных системах ПДн Методика определения актуальных угроз безопасности ПДн при их обработке в информационных системах ПДн Базовая модель угроз безопасности ПДн при их обработке в информационных системах ПДн Методические рекомендации по обеспечению с помощью криптосредств безопасности персональных данных при их обработке ИСПДн с использованием средств автоматизации Типовые требования по организации и обеспечению функционирования шифровальных (криптографических) средств …в случае их использования для обеспечения безопасности ПДн при их обработке в ИСПДн

Система защиты ИСПДн Интернет Средства предотвращения утечки информации по техническим каналам Средства предотвращения утечки информации по техническим каналам Средства предотвращения программно- технических воздействий на технические средства обработки персональных данных 1.Антивирусные средства: DrWed, Антивирус Касперского… 2. Программное обеспечение, сертифицированное на отсутствие НДВ. 3. Системы обнаружения вторжений и компьютерных атак: ФОРПОСТ, Proventia Network… Средства предотвращения программно- технических воздействий на технические средства обработки персональных данных 1.Антивирусные средства: DrWed, Антивирус Касперского… 2. Программное обеспечение, сертифицированное на отсутствие НДВ. 3. Системы обнаружения вторжений и компьютерных атак: ФОРПОСТ, Proventia Network… Средства защиты информации, представленной в виде информативных электрических сигналов, физических полей: Гном-3, ГШ-1000, ГШ-1000К, ГШ-2500, Октава-РС1, Гром-ЗИ-4Б МП-2, МП-3, МП-5, ЛФС-10-1Ф… Средства защиты информации, представленной в виде информативных электрических сигналов, физических полей: Гном-3, ГШ-1000, ГШ-1000К, ГШ-2500, Октава-РС1, Гром-ЗИ-4Б МП-2, МП-3, МП-5, ЛФС-10-1Ф… Средства защиты носителей информации на бумажной, магнитной, магнитоопрической и иной основе: eToken PRO 64K и eToken NG-OTP, Secret Disk 4… Средства защиты носителей информации на бумажной, магнитной, магнитоопрической и иной основе: eToken PRO 64K и eToken NG-OTP, Secret Disk 4… Средства защиты речевой информации: Барон, ЛГШ-402(403), SEL SP-21B1 Баррикада, Шорох-2, Соната-АВ, Шторм-105… Средства защиты речевой информации: Барон, ЛГШ-402(403), SEL SP-21B1 Баррикада, Шорох-2, Соната-АВ, Шторм-105… Средства предотвращения несанкционированного доступа к информации: 1. Защищенные ОС: Red Hat Enterprise Linux, QNX, МСВС Блокхост-сеть, Аккорд-Рубеж, Аккорд-NT/2000, Secret Net 5.0, Соболь, Dallas Lock 7.0, Лабиринт-М, Страж NT Средства предотвращения несанкционированного доступа к информации: 1. Защищенные ОС: Red Hat Enterprise Linux, QNX, МСВС Блокхост-сеть, Аккорд-Рубеж, Аккорд-NT/2000, Secret Net 5.0, Соболь, Dallas Lock 7.0, Лабиринт-М, Страж NT Используемые в информационной системе информационные технологии. Используемые в информационной системе информационные технологии. Межсетевые экраны Шлюзы безопасности: Cisco, Z-2, WatchGuard Firebox… CSP VPN Gate, CSP RVPN… Межсетевые экраны Шлюзы безопасности: Cisco, Z-2, WatchGuard Firebox… CSP VPN Gate, CSP RVPN… Шифровальные (криптографические) средства защиты информации Шифровальные (криптографические) средства защиты информации

Преемственность требований Базирование на требованиях апробированных документов: -РД АС; -РД СВТ -РД МЭ -РД НДВ -СТР-К Учет уровня развития средств и способов ЗИ: -контроль защищенности -антивирусная защита -расширенные требования по управлению доступом, регистрации, сигнализации о нарушениях защиты.

Классы типовых информационных систем ПДн : класс 1 (К1) – информационные системы, для которых нарушение заданной характеристики безопасности ПДн, обрабатываемых в них, может привести к значительным негативным последствиям для субъектов ПДн; класс 2 (К2) – информационные системы, для которых нарушение заданной характеристики безопасности ПДн, обрабатываемых в них, может привести к негативным последствиям для субъектов ПДн; класс 3 (К3) – информационные системы, для которых нарушение заданной характеристики безопасности ПДн, обрабатываемых в них, может привести к незначительным негативным последствиям для субъектов ПДн; класс 4 (К4) – информационные системы, для которых нарушение заданной характеристики безопасности ПДн, обрабатываемых в них, не приводит к негативным последствиям для субъектов ПДн Порядок проведения классификации информационных систем персональных данных Основные особенности Объем ПДн Категория ПДн 321 Категория 4 К4К4К4 Категория 3 К3К3К2 Категория 2 К3К2К1 Категория 1 К1К1К1

Модель угроз – основа для уточнения требований

Встраивание механизмов защиты ПДн в прикладное ПО Область автоматизации: бухгалтерия, кадры и др. широко распространенные задачи. Встраиваемые функции: -управление доступом к ПДн -регистрация доступа к ПДн -учет создаваемых записей ПДн -сигнализация нарушения защиты ПДн -контроль целостности встроенных средств защиты ПДн Эффект: -возможность полного контроля ПДн на уровне полей, записей и любых других форм хранения ПДн -сопровождение единым разработчиком -сертификационная поддержка (исходные тексты и документация) -возможность построения комплексного решения -возможность широкого тиражирования -унификация многочисленных ИСПДн

Разработка комплексного решения по защите ПДн Состав решения: -сертифицированная платформа (ОС, СУБД); -сертифицированное прикладное ПО, со встроенными механизмами защиты; -изложение организационных мероприятий для объекта информатизации; -комплект эксплуатационных и организационно-распорядительных документов Эффект: -гарантированное выполнение всех требований по защите ПДн на множестве типовых объектов -обеспечение возможности использования для тиражирования решения партнерской сети основных разработчиков типового прикладного ПО -легкость в модернизации ранее созданных ИСПДн -сокращение сроков и стоимости внедрения в большое количество ИСПДн

Спасибо за внимание !