ЗАЩИТА ИНФОРМАЦИИ ПО ПОЛОЧКАМ

ЗАЩИТА ИНФОРМАЦИИ ПО ПОЛОЧКАМ

ООО «Смолтелеком»Фомченков Сергей


Федеральный закон от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации»

Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных»

Нормативные, руководящие и методических документах ФСТЭК России

Нормативные, руководящие и методических документах и ФСБ России

Государственные стандарты

Законодательство в сфере защиты информации


КАК ОРГАНИЗОВАТЬ МЕРОПРИЯТИЯ ПО ЗАЩИТЕ ИНФОРМАЦИИ?

КАКИЕ НЕОБХОДИМО ПРИНЯТЬ МЕРЫ?

С ЧЕГО НАЧАТЬ?


ПОЛОЧКА 1. ОПРЕДЕЛЕНИЕ ЛИЦ, ОТВЕЧАЮЩИХ ЗА ВЫПОЛНЕНИЕ ТРЕБОВАНИЙ УСТАНОВЛЕННЫХ К ОБРАБОТКЕ И ОБЕСПЕЧЕНИЮ БЕЗОПАСНОСТИ ПДН

Ответственный за организацию обработки ПДн (Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных» ст. 18.1, ч.1, п.1)

Комиссия по обеспечению безопасности ПДнфункции комиссии: проведение внутреннего аудита и инвентаризации информационных ресурсов; определение оценки вреда, который может быть причинен субъектам ПДн; построение модели угроз безопасности ПДн.

Локальные акты: Приказ о назначении ответственного за организацию обработки ПДн; Должностные обязанности ответственного за организацию обработки ПДн; Приказ о создании комиссии по обеспечению безопасности ПДн; Положение о комиссии по обеспечению безопасности ПДн.


ПОЛОЧКА 2. ПОЛИТИКА ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ

Определить политику в отношении обработки ПДн (Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных» ст. 18.1, ч.1, п.2) ГОСТ Р ИСО/МЭК 17799-2005 «Информационная технология. Практические правила управления

информационной безопасностью»; ГОСТ Р ИСО/МЭК 13335-1-2006 «Информационная технология. Методы и средства обеспечения

безопасности. Часть 1. Концепция и модели менеджмента безопасности информационных и телекоммуникационных технологий»;

ГОСТ Р ИСО/МЭК 13335-3-2007 «Информационная технология. Методы и средства обеспечения безопасности. Часть 3. Методы менеджмента безопасности информационных технологий»

Данная политика должна быть опубликована или иным способом сделана общедоступной

Локальные акты: Политику оператора в отношении обработки и обеспечения безопасности

ПДн; План мероприятий обеспечению безопасности ПДн (по реализации

политики)


ПОЛОЧКА 3. АУДИТ, ИНВЕНТАРИЗАЦИЯ И КЛАССИФИКАЦИЯ АКТИВОВ

Все основные информационные активы должны быть учтены и закреплены за ответственными владельцами (ГОСТ Р ИСО/МЭК 17799-2005 , ГОСТ Р ИСО/МЭК 13335-1-2006, ГОСТ Р ИСО/МЭК 13335-3-2007)

Локальные акты: Перечень ПДн с указанием:

– цели обработки и основания для обработки;– состава ПДн;– количества субъектов ПДн;– типа обработки ПДн (автоматизированная, неавтоматизированная, смешанная);– типа ПДн (специальные, биометрические, общедоступные, иные персональные данные,

персональные данные сотрудников);– сроков хранения, места обработки (хранения) ПДн.

Перечень лиц, допущенных к обработке ПДн, с указанием к каким ПДн имеют доступ;

Перечень помещений, в которых ведется обработка ПДн; Перечень ИСПДн; и прочие.


ПОЛОЧКА 4. ВЫПОЛНЕНИЕ СПЕЦИФИЧЕСКИХ ТРЕБОВАНИЙ РЕЖИМА ПДН

Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных»; Постановление Правительства Российской Федерации от 15.09.2008 № 687

«Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»;

Постановление Правительства Российской Федерации от 6.06.2008 №512 «Об утверждении требований к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных»

Постановление Правительства Российской Федерации № 211 от 21.03.2012 «Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами»


ПОЛОЧКА 4. ВЫПОЛНЕНИЕ СПЕЦИФИЧЕСКИХ ТРЕБОВАНИЙ РЕЖИМА ПДН

Локальные акты: Положение о порядке обработки ПДн; Регламент рассмотрения запросов субъектов ПДн или их представителей с типовыми

формами запросов и ответов; Журнал учета запросов субъектов ПДн; Уведомление о намерении осуществлять обработку ПДн; Типовые формы согласий на обработку ПДн (субъекта, представителя субъекта) для

каждой цели обработки; Типовой раздел для договоров с третьими лицами о соблюдение

конфиденциальности ПДн; Типовая форма разъяснения субъекту ПДН юридических последствий отказа

предоставить свои ПДн; Порядок обработки ПДн без использования средств автоматизации; Типовые формы документов, содержащих ПДн; Порядок работы с обезличенными данными; Перечень должностей служащих государственного или муниципального органа,

ответственных за проведение мероприятий по обезличиванию обрабатываемых ПДн; Порядок обращения с биометрическими ПДн; Журнал учета материальных носителей с биометрическими ПДн; и д.р.


ПОЛОЧКА 5. ОЦЕНКА ВРЕДА, ОПРЕДЕЛЕНИЕ УГРОЗ БЕЗОПАСНОСТИ И НЕОБХОДИМОГО УРОВНЯ ЗАЩИЩЕННОСТИ

В соответствии с Федерального закона «О персональных данных» оператор обязан провести:

оценку вреда, который может быть причинен субъектам ПДн в случае нарушения закона, соотношение указанного вреда и принимаемых оператором мер, направленных на обеспечение выполнения обязанностей, предусмотренных законом;

определение угроз безопасности ПДн при их обработке в ИСПДн; определение необходимого уровня защищенности ПДн.



ГОСТ Р 51901.1-2002 «Менеджмент риска. Анализ риска технологических систем»;

ГОСТ Р ИСО/МЭК 27005-2010 – «Информационная технология. Методы и средства обеспечения безопасности. Менеджмент риска информационной безопасности».



Для определения актуальных угроз безопасности ПДн, оператором проводится разработка модели угроз безопасности ПДн в соответствии с существующими методиками и государственными стандартами. Базовая модель угроз безопасности персональных данных при их обработке в

информационных системах персональных данных (выписка). ФСТЭК России Методика определения актуальных угроз безопасности персональных данных при их

обработке в информационных системах персональных данных ФСТЭК России Отраслевая модель угроз безопасности персональных данных при их обработке в

информационных системах персональных данных Операторов связи РС БР ИББС -2.4-2010 - Обеспечение информационной безопасности организаций банковской

системы Российской Федерации. Отраслевая частная модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных

ГОСТ Р ИСО/МЭК 27005-2010 – «Информационная технология. Методы и средства обеспечения безопасности. Менеджмент риска информационной безопасности».

ГОСТ Р ИСО/МЭК 13335-3-2007 «Информационная технология. Методы и средства обеспечения безопасности. Часть 3. Методы менеджмента безопасности информационных технологий»



Постановление Правительства РФ от 1 ноября 2012 г. №1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»



Локальные акты:

Протокол (акт, отчет) оценки вреда, который может быть причинен субъектам ПДн ;

Частная модель угроз безопасности ПДн (как правило для каждой ИСПДн);

Акт определения уровня защищенности ПДн при их обработке в ИСПДн.


ПОЛОЧКА 6. ОПРЕДЕЛЕНИЕ ЗАЩИТНЫХ МЕР

Постановление Правительства РФ от 1 ноября 2012 г. №1119 Нормативные документы ФСТЭК России и ФСБ России ГОСТ Р ИСО/МЭК ТО 13335-4-2007 «Информационная технология. Методы и

средства обеспечения безопасности. Часть 4. Выбор защитных мер». Информационное письмо ФСТЭК России «Об особенностях защиты ПДн при

их обработке в ИСПДн и сертификации СЗИ, предназначенных для защиты ПДн» от 20 ноября 2012 г. № 240/24/4669

Локальные акты: Техническое задание на создание системы защиты ПДн (СЗПДн); Технический проект СЗПДн.• ГОСТ Р 51583-2000. «Порядок создания автоматизированных систем в защищённом исполнении. • ГОСТ Р 51624-2000. «Автоматизированные системы в защищённом исполнении. Общие требования»;• ГОСТ 34.201 «Виды, комплектность и обозначение документов при создании автоматизированных систем»;• ГОСТ 34.601 «Информационная технология. Автоматизированные системы. Стадии создания».;• РД 50-34.698-90 «Автоматизированные системы. Требования к содержанию документов».


ПОЛОЧКА 7. ПЕРСОНАЛ. ОБЯЗАННОСТИ. ОТВЕТСТВЕННОСТЬ.

Следует определить обязанности по защите отдельных активов и по выполнению конкретных процедур, связанных с информационной безопасностью

Кроме этого, должна быть четко определена конкретная персональная ответственность в отношении отдельных материальных и информационных активов и процессов, связанных с информационной безопасностью.

Ответственные сотрудники должны иметь достаточную квалификацию.

При необходимости следует организовать их обучение.

Должны быть разработаны и утверждены должностные обязанности, инструкции, приказы связанные с обеспечением безопасности ПДн


ПОЛОЧКА 7. ПЕРСОНАЛ. ОБЯЗАННОСТИ. ОТВЕТСТВЕННОСТЬ.

Локальные акты: Приказ о допуске сотрудников к обработке ПДн; Должностные инструкции сотрудников, обрабатывающих ПДн Приказ о назначение ответственного за обеспечение безопасности ПДн и его

должностные обязанности; Приказ о назначение администратора безопасности и его должностные

обязанности; Приказ о назначение администратора ИСПДн и его должностные обязанности; Перечень лиц допущенных в помещения, где ведется обработка ПДн; Инструкция о порядке использования СКЗИ; Приказ о назначении ответственного за СКЗИ; Перечень лиц допущенных к работе с СКЗИ; Обязательство о неразглашении информации для сотрудников; Регламент проведения инструктажа по информационной безопасности; Журнал учета инструктажа сотрудников по вопросам обработки и обеспечению

безопасности ПДн; и д.р.


ПОЛОЧКА 8. РЕАЛИЗАЦИЯ ЗАЩИТНЫХ МЕР. ВНЕДРЕНИЕ СИСТЕМЫ ЗАЩИТЫ ИНФОРМАЦИИ.

Проводятся мероприятия по установке и настройке средств защиты информации, внедрение организационных мер, положений, регламентов, инструкций и журналов Локальные акты: Положения о пропускном режиме и о контролируемой зоне; Порядок доступа в помещения; Положения (инструкции) об антивирусной защите, о парольной защите; Регламент резервного копирования и восстановления; Журнал учета носителей ПДн; Регламент предоставления и изменения прав доступа к ресурсам и матрица доступа; Порядок учета и журнал учета СЗИ; Порядок учета, хранения, уничтожения документов и электронных носителей

содержащих ПДн; Инструкция по работе в сетях общего пользования; Технический паспорт на каждую ИСПДн; Акты установки СЗИ; Приказы о вводе в эксплуатация ИСПДн и СЗПДн и др.


ПОЛОЧКА 9. КОНТРОЛЬ

В организации должен осуществляться контроль за принимаемыми мерами по обеспечению безопасности ПДн и установленным уровнем защищенности ИСПДн.Периодичность проведения контроля выбирается в зависимости от объективных факторов, но, как правило, не реже 1-го раза в год

В соответствии с п.17 Постановления Правительства РФ от 1 ноября 2012 г. №1119, не реже 1 раза в 3 года оператором самостоятельно и (или) с привлечением на договорной основе организаций, имеющих лицензию на осуществление деятельности по ТЗКИ организуется и проводится контроль за выполнением требований указанного постановления

Локальные акты: Положение (Инструкция) о порядке проведения внутреннего контроля; Журнал учета мероприятий по контролю;


ПОЛОЧКА 10 КОРРЕКТИРОВКА ПРИНЯТЫХ МЕР ИЛИ ВСЕ СНАЧАЛА

С целью поддержания работоспособности системы защиты информации необходимо: вносить изменения в приказы и перечни в связи с кадровыми

перестановками; проводить мониторинг изменений законодательства в сфере ПДн и защиты

информации; вносить изменения в организационные, технические и проектные

документы, в связи с изменением структуры данных или информационных систем;

ежегодно проводить повторный аудит и инвентаризацию.

ГОСТ Р ИСО/МЭК 27001-2006- «Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования»

ООО «Смолтелеком» осуществляет весь спектр работ по защите информации:

Аудит организаций и информационных систем

Разработка локальных документов для выполнения требований ФЗ №152

Разработка технический проектов систем защиты информации

Оценка вреда субъекту персональных данных

Модель угроз безопасности

Настройка и внедрение средств защиты информации

Аттестация информационных систем с конфиденциальной информацией

Аутсорсинг и полное сопровождение безопасности организаций


Лицензия ФСТЭК России КИ 0079 003948Лицензия ФСБ России ЛСЗ 0002555

СПАСИБО ЗА ВНИМАНИЕООО «Смолтелеком»

Отдел защищенного электронного документооборота

www.smoltelecom.ru(4812) 32-88-01

Documents

ЗАЩИТА ИНФОРМАЦИИ ПО ПОЛОЧКАМ