1 / 14

Доработка политики безопасности организации в свете закона 152 – ФЗ

Доработка политики безопасности организации в свете закона 152 – ФЗ. Корт С.С., СПбГПУ. Приказ ФСТЭК России от 5.02.2010 № 58. Отсутствие требований по применению сертифицированных средств защиты Изъятие требований по лицензированию деятельности шифрование Есть противоречия!!!.

rowan-maddox
Download Presentation

Доработка политики безопасности организации в свете закона 152 – ФЗ

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Доработка политики безопасности организации в свете закона 152 – ФЗ Корт С.С., СПбГПУ

  2. Приказ ФСТЭК России от 5.02.2010 № 58 • Отсутствие требований по применению сертифицированных средств защиты • Изъятие требований по лицензированию деятельности • шифрование • Есть противоречия!!!

  3. Сертификация • сертификации на соответствие 4 уровню контроля отсутствия НДВ средств защиты информации, используемых в ИСПДн 1 класса • прочие средства защиты должны также проходить процедуру оценки соответствия, одной из форм которой является сертификация («на ТУ»)

  4. Модификация ПБ и системы защиты • Эволюционная • Революционная

  5. Классификация информационных систем ПД • категория персональных данных (1-4) • объем персональных данных

  6. Минимизация затрат • Изменение категории и объема ИСПДн. • Структурирование (сегментация и объединение) ИСПДн. Позволяет минимизировать объем ПД в ИСПДн. • Выделить обработку и хранение ПД в отдельную комнату • Отключить ИСПДн от глобальной сети • Минимизация затрат за счет существующих в ПБ решений по защите информации.

  7. Изменение категории ПД • Обезличивание • Перевод в категорию общедоступных данных • Отделение данных, позволяющих идентифицировать субъект ПД, от данных, позволяющих получить о нем дополнительную информацию • Отказ от сбора части информации

  8. Изменение объема ПД • Дробление ИС на подсистемы с меньшим объемом • Введение понятия «время жизни ПД» • Организация архивов без использования средств автоматизации

  9. Организационные меры по ЗПД. • разработка организационно – распорядительных документов, регламентирующих весь процесс получения, обработки, хранения, передачи и защиты персональных данных • перечень мероприятий по защите персональных данных

  10. Категория K3 – меры защиты а) управление доступом:идентификация и проверка подлинности пользователя при входе в систему по паролю условно-постоянного действия длинной не мене шести буквенно-цифровых символов – настройка существующих механизмов б) регистрация и учет:регистрация входа (выхода) пользователя в систему (из системы) либо регистрация загрузки и инициализации операционной системы и ее программного останова – настройка существующих механизмов.

  11. Категория K3 – меры защиты в) учет всех защищаемых носителей информации с помощью их маркировки и занесение учетных данных в журнал учета с отметкой об их выдаче (приеме) – надо реализовать, существуют решения с открытым кодом г) обеспечение целостности программных средств системы ЗПД, обрабатываемой информации, а также неизменность программной среды - – надо реализовать, существуют решения с открытым кодом; архитектурные решения

  12. Категория K3 – меры защиты д) физическая охрана информационной системы (устройств и носителей информации), предусматривающая контроль доступа в помещения информационной системы посторонних лиц, наличие надежных препятствий для несанкционированного проникновения в помещения информационной системы и хранилище носителей информациинадо реализовать; е) периодическое тестирование функций системы защиты персональных данных при изменении программной среды и пользователей информационной системы с помощью тест-программ, имитирующих попытки несанкционированного доступа – надо реализовать; ж) наличие средств восстановления системы ЗПД , предусматривающих ведение двух копий программных компонент средств защиты информации, их периодическое обновление и контроль работоспособности.

  13. Категория K3 – меры защиты д) физическая охрана информационной системы (устройств и носителей информации), предусматривающая контроль доступа в помещения информационной системы посторонних лиц, наличие надежных препятствий для несанкционированного проникновения в помещения информационной системы и хранилище носителей информациинадо реализовать; е) периодическое тестирование функций системы защиты персональных данных при изменении программной среды и пользователей информационной системы с помощью тест-программ, имитирующих попытки несанкционированного доступа – надо реализовать; ж) наличие средств восстановления системы ЗПД, предусматривающих ведение двух копий программных компонент средств защиты информации, их периодическое обновление и контроль работоспособности – надо реализовать;. з) безопасное межсетевое взаимодействие распределенных информационных систем – надо реализовать;

  14. Проверить существующие решения на соответствие ЗПД • Экранные формы • Обработка электронной почты • Данные на сайтах

More Related