Download - Оптимизация информационной системы под задачи защиты информации конфиденциального характера
![Page 1: Оптимизация информационной системы под задачи защиты информации конфиденциального характера](https://reader035.vdocuments.site/reader035/viewer/2022070502/56813883550346895da037da/html5/thumbnails/1.jpg)
Оптимизация информационной системы под задачи защиты
информации конфиденциального характера
10 ноября 2010
1
![Page 2: Оптимизация информационной системы под задачи защиты информации конфиденциального характера](https://reader035.vdocuments.site/reader035/viewer/2022070502/56813883550346895da037da/html5/thumbnails/2.jpg)
Нормативная база РФ
Законы
2
![Page 3: Оптимизация информационной системы под задачи защиты информации конфиденциального характера](https://reader035.vdocuments.site/reader035/viewer/2022070502/56813883550346895da037da/html5/thumbnails/3.jpg)
Что нас ожидает
На 2011 год запланирован тендер на национальную операционную систему
3
![Page 4: Оптимизация информационной системы под задачи защиты информации конфиденциального характера](https://reader035.vdocuments.site/reader035/viewer/2022070502/56813883550346895da037da/html5/thumbnails/4.jpg)
Методика определения актуальных угроз*
Методичес-кие рекоменда-ции *
Базовая модель угроз безопасности персональных данных* (ДСП)
Приказ от 5 февраля 2010 г. N 58
Текущая ситуация в области защиты ПДн
4
Постановление Правительства РФ от 15 сентября 2008 г. № 687 «Об утверждении положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»
Постановление Правительства РФ от 17 ноября 2007 г. № 781«Об утверждении положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных»
Постановление Правительства РФ от 15 мая 2010 г. № 330 (ДСП)«Об особенностях оценки соответствия продукции (работ, услуг), используемой в целях защиты сведений, относимых к охраняемой в соответствии с законодательством Российской Федерации информации ограниченного доступа, не содержащей сведения, составляющие государственную тайну, а также процессов ее проектирования (включая изыскания), производства, строительства, монтажа, наладки, эксплуатации, хранения, перевозки, реализации, утилизации и захоронения, об особенностях аккредитации органов по сертификации и испытательных лабораторий (центров), выполняющих работы по подтверждению соответствия указанной продукции (работ, услуг)»
Приказ ФСТЭК России, ФСБ России, Мининформсвязи России от 13 февраля 2008 г. № 55/86/20«Об утверждении Порядка проведения классификации информационных систем персональных данных»
Методические документы ФСТЭК Методические документы ФСБ
(*) Методические документы ФСТЭК и ФСБ не прошли регистрацию в Минюсте и являются рекомендательными
Типовые требования*
Постановление Правительства РФ от 6 июля 2008 г. № 512«Об утверждении требований к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных»
![Page 5: Оптимизация информационной системы под задачи защиты информации конфиденциального характера](https://reader035.vdocuments.site/reader035/viewer/2022070502/56813883550346895da037da/html5/thumbnails/5.jpg)
Особенности для банковской сферы
5
№01-23/3148 от 28.06.2010 (Письмо шести)
Комплекс БР ИББС
СТО БР ИББС-1.0-2010
Четвертая редакция стандарта Банка России отраслевого применения СТО БР ИББС-1.0-2010 "Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения"
СТО БР ИББС-1.2-2010
Третья редакция стандарта Банка России отраслевого применения СТО БР ИББС-1.2-2010 "Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Методика оценки соответствия информационной безопасности организаций банковской системы Российской Федерации требованиям СТО БР ИББС-1.0"
РС БР ИББС-2.4
Рекомендации в области стандартизации Банка России «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Отраслевая частная модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных организаций банковской системы Российской Федерации»
РС БР ИББС-2.3 Рекомендации в области стандартизации Банка России «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Требования по обеспечению безопасности персональных данных в информационных системах персональных данных организаций банковской системы Российской Федерации»
Методические рекомендации по выполнению законодательных требований при обработке персональных данных в организациях БС РФ, разработанные совместно Банком России, АРБ и Ассоциацией региональных банков России (Ассоциацией «Россия»)
![Page 6: Оптимизация информационной системы под задачи защиты информации конфиденциального характера](https://reader035.vdocuments.site/reader035/viewer/2022070502/56813883550346895da037da/html5/thumbnails/6.jpg)
Иные отрасли
6
Операторы связи – НИР «Тритон»НАУФОР – планирует до конца года разработать стандарт по защите персональных данных для профессиональных участников фондового рынкаАссоциация консультантов по персоналу (АККП) – приступила к разработке отраслевого стандартаСтраховщики, металлурги, и другие также планируют отраслевые стандарты
![Page 7: Оптимизация информационной системы под задачи защиты информации конфиденциального характера](https://reader035.vdocuments.site/reader035/viewer/2022070502/56813883550346895da037da/html5/thumbnails/7.jpg)
7
Профессиональная тайна
Федеральный закон Российской Федерации от 27 июля 2006 года № 149-ФЗ «Об информации, информационных технологиях и защите информации»Статья 9. Ограничение доступа к информации5. Информация, полученная гражданами (физическими лицами) при исполнении ими профессиональных обязанностей или организациями при осуществлении ими определенных видов деятельности (профессиональная тайна), подлежит защите в случаях, если на эти лица федеральными законами возложены обязанности по соблюдению конфиденциальности такой информации. 6. Информация, составляющая профессиональную тайну, может быть предоставлена третьим лицам в соответствии с федеральными законами и (или) по решению суда. 7. Срок исполнения обязанностей по соблюдению конфиденциальности информации, составляющей профессиональную тайну, может быть ограничен только с согласия гражданина (физического лица), предоставившего такую информацию о себе.
![Page 8: Оптимизация информационной системы под задачи защиты информации конфиденциального характера](https://reader035.vdocuments.site/reader035/viewer/2022070502/56813883550346895da037da/html5/thumbnails/8.jpg)
8
Информационные ресурсы конфиденциального
характера
Информационные ресурсы конфиденциального характера могут выглядеть примерно так:
Коммерческая или служебная тайна
Профессиональная тайна
Персональные данные
![Page 9: Оптимизация информационной системы под задачи защиты информации конфиденциального характера](https://reader035.vdocuments.site/reader035/viewer/2022070502/56813883550346895da037da/html5/thumbnails/9.jpg)
Пример требованийФСТЭК
9
Руководящий документ. Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации
2.5. Требования к классу защищенности 3Б: подсистема управления доступом:должна осуществляться идентификация и проверка подлинности субъектов доступа при входе в систему по паролю условно-постоянного действия, длиной не менее шести символов. подсистема регистрации и учета:должна осуществляться регистрация входа/выхода субъектов доступа в систему/из системы, либо регистрация загрузки и инициализации операционной системы и ее программного останова.Регистрация выхода из системы или останов не проводится в моменты аппаратурного отключения АС. В параметрах регистрацииуказываются: …
Приказ от 5 февраля 2010 г. N 58
2.1. Для информационных систем 3 класса при однопользовательском режиме обработки персональных данных применяются следующие основные методы и способы защиты информации:а) управление доступом:идентификация и проверка подлинности пользователя при входе в систему информационной системы по паролю условно-постоянного действия длиной не менее шести буквенно-цифровых символов;б) регистрация и учет:регистрация входа (выхода) пользователя в систему (из системы) либо регистрация загрузки и инициализации операционной системы и ее программного останова. Регистрация выхода из системы или останова не проводится в моменты аппаратурного отключения информационной системы. В параметрах регистрации указываются ….
![Page 10: Оптимизация информационной системы под задачи защиты информации конфиденциального характера](https://reader035.vdocuments.site/reader035/viewer/2022070502/56813883550346895da037da/html5/thumbnails/10.jpg)
Примерное соответствие классов ИСПДн и АС ЗИ
Класс ИСПДн Однопользовательская
Многопользовательская с одинаковым уровнем доступа
Многопользовательская с разным уровнем доступа
К3 3Б 2Б 1Д
К2 3Б 2Б 1Д
К1 3Б (усиленная) 2Б (усиленная) 1Г
10
Различия между классами ИСПДн К3 и К2 только в требованиях к межсетевому экранированию
![Page 11: Оптимизация информационной системы под задачи защиты информации конфиденциального характера](https://reader035.vdocuments.site/reader035/viewer/2022070502/56813883550346895da037da/html5/thumbnails/11.jpg)
Передача ПДн на примере кадровой
подсистемы
11
ФНС ФОМС ПФР
Иные гос. органы
Роспотребнадзор ФСС МО РФ Росстат
![Page 12: Оптимизация информационной системы под задачи защиты информации конфиденциального характера](https://reader035.vdocuments.site/reader035/viewer/2022070502/56813883550346895da037da/html5/thumbnails/12.jpg)
12
Статья 19. Меры по обеспечению безопасности персональных данных при их обработке 1. Оператор при обработке персональных данных обязан принимать необходимые организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных, а также от иных неправомерных действий.Статья 3. Основные понятия, используемые в настоящем Федеральном законе
В целях настоящего Федерального закона используются следующие основные понятия: 2) оператор - государственный орган, муниципальный орган, юридическое или физическое лицо, организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели и содержание обработки персональных данных;