календарь

Текущие события

12 мар Управление рисками информационной безопасности современной организации. Методики и практические аспекты.

15 мар Обеспечение информационной безопасности с использованием шифровальных (криптографических) средств (Программа согласована с ФСБ России)

15 мар Cisco IP Telephony Part1

15 мар Внедрение Microsoft ISA Server 2004

15 мар Использование сетевого оборудования Cisco® (часть I)

16 мар Комплексная защита персональных данных в информационных системах персональных данных (Программа курса согласована с ФСТЭК России)

18 мар Эффективное ценообразование в аукционах и конкурсах. От участия к победе

• Конференция «РусКрипто» площадка общения специалистов в области теоретических и практических вопросов криптографии и информационной безопасности
• IX Ежегодная Всероссийская конференция "Обеспечение информационной безопасности. Региональные аспекты"

Курсы

• Все курсы
• Расписание
• Поиск

Консалтинг ИБ

Основные положения Федерального Закона № 152-ФЗ
«О персональных данных»

В настоящее время практически в каждой организации в информационных системах хранятся и обрабатываются различные данные о сотрудниках, клиентах, партнерах и т.п., такие как, например, фамилия, имя, отчество, дата и место рождения, адрес, семейное, имущественное и социальное положение, сведения об образовании, профессии, информация о доходах и другие персональные данные.

В соответствии с Федеральным Законом № 152-ФЗ «О персональных данных», принятым 27 июля 2006 года (далее Закон), перечисленные сведения отнесены к категории Персональные данные (ПДн). Закон определил и понятие «Оператор персональных данных» - это «… - государственный или муниципальный орган, юридическое или физическое лицо, организующее и (или) осуществляющее обработку персональных данных, а также определяющие цели и содержание такой обработки».

Работу Операторов ПДн с персональными данными регламентирует ряд нормативных документов, к которым, в частности, относятся: Постановление правительства РФ от 17 ноября 2007 года №781 «Об утверждении положения об обеспечении безопасности ПДн при их обработке в информационных системах (ИС) персональных данных», нормативные и методические документы ФСТЭК и ФСБ России.

Согласно этим документам, обеспечение безопасности ПДн является неотъемлемой и обязательной частью работ по созданию и поддержке информационных систем. Закон обязывает Оператора ПДн принимать организационные и технические меры для защиты персональных данных от несанкционированного доступа, уничтожения, изменения, блокирования, копирования, распространения и иных неправомерных действий.

Для обеспечения безопасности ПДн определен комплекс мер по созданию системы защиты, включающий следующий основной перечень:

• определение актуальных угроз безопасности ПДн и разработка моделей угроз и нарушителя для ИС;
• разработку на основе модели угроз системы защиты ПДн;
• проверку готовности средств защиты информации к использованию;
• обучение персонала правилам работы со средствами защиты;
• учет применяемых средств защиты информации и носителей ПДн;
• учет лиц, допущенных к работе с ПДн;
• контроль соблюдения условий эксплуатации средств защиты информации;
• Реагирование на нарушения режима защиты ПДн.

Все требования по защите ПДн должны быть выполнены до 1 января 2010 года. Лица, виновные в нарушении или ненадлежащем выполнении требований, несут гражданскую, административную, уголовную, дисциплинарную и иную, предусмотренную законодательством РФ, ответственность. Мера ответственности Операторов ПДн за нарушение требований Закона определяется исходя из двух основных параметров: количество субъектов ПДн, обрабатываемых в системе и категория ПДн.

Академия Информационных Систем на защите персональных данных Вашей компании

НОУ «Академия Информационных Систем» (АИС) имеет все необходимые лицензии для работы с конфиденциальной информацией и уже более четырех лет успешно решает задачи, необходимые для проведения мероприятий по защите ПДн, регламентированных Законом. Создание специалистами АИС системы обеспечения безопасности информации (СОБИ) в полной мере соответствует всем требованиям Закона «О персональных данных» и других нормативных документов.

Типовые работы по созданию СОБИ включают:

• Комплексное обследование (аудит) ИС, разработку модели угроз и нарушителя в соответствии с новыми регламентирующими документами;
• Анализ информационных ресурсов, выявление ПДн и их категорирование;
• Разработку требований к СОБИ для конкретной ИС, с учетом присвоенного класса защиты;
• Разработку и внедрение СОБИ в соответствии с требованиями новых РД;
• Разработку пакета организационно-распорядительных документов для СОБИ;
• Аттестацию СОБИ на соответствие требованиям по защите ПДн;
• Консультирование по вопросам применения требований по защите информации.

Деятельность АИС базируется на проверенном годами комплексе решений и услуг в области информационной безопасности. Также большой практический опыт позволяет эффективно проектировать и внедрять системы защиты информации для ИС государственных и коммерческих структур.

Состав работ по построению системы защиты персональных данных корпоративной информационной системы

В зависимости от сложности ИС (корпоративная информационная система может являться территориально распределенной и иметь сложную гетерогенную структуру, объединяя в своем составе различные программно-аппаратные средства и платформы) достоверная оценка полных сроков и стоимости работ возможна только после проведения обследования информационной системы.

В связи с этим все работы разделяются на две стадии:

• На первой стадии выполняются работы по обследованию существующей информационной системы и проектированию системы защиты информации, атакже по адаптации внутренней нормативной базы и бизнес-процессов.
• На второй стадии осуществляется внедрение разработанной системы защиты и его аттестация по требованиям безопасности информации.

Таким образом, работы по построению системы защиты персональных данных при их обработке в корпоративной информационной системе включают в себя следующие этапы:

1. Первая стадия:
   1. обследование корпоративной информационной системы;
   2. разработка рекомендаций по выполнению требований законодательства в части обработки персональных данных;
   3. адаптация бизнес-процессов и внутренней нормативной базы для выполнения государственных требований в части обработки персональных данных;
   4. разработка моделей угроз и частных технических заданий на создание систем защиты персональных данных информационных систем;
   5. техническое проектирование системы защиты информации;
2. Вторая стадия:
   1. внедрение системы защиты информации;
   2. аттестация по требованиям безопасности информации.

Обследование корпоративной информационной системы

Целью проведения обследования является сбор сведений, необходимых для дальнейшего проектирования системы защиты персональных данных.

Обследование корпоративной информационной системы включает:

• обследование объекта информатизации;
• уточнение топологии и конфигурации системы;
• уточнение технологических процессов обработки информации;
• выделение подсистем, в которых осуществляется обработка персональных данных;
• уточнение состава имеющихся технических и программных средств;
• уточнение степени участия персонала в обработке персональных данных и характера взаимодействия персонала между собой;
• классификация информационных систем персональных данных.

Разработка рекомендаций по выполнению требований законодательства

На этапе разработки рекомендаций по выполнению требований законодательства осуществляется анализ сведений, полученных на этапе обследования корпоративной информационной системы. По результатам анализа подготавливается перечень несоответствий существующих бизнес-процессов и технологических решений предъявляемым требованиям, и формируются рекомендации по их устранению.

Адаптация бизнес-процессов и внутренней нормативной базы для выполнения государственных требований в части обработки персональных данных
На данном этапе осуществляется адаптация существующих бизнес-процессов и внутренней нормативной базы для выполнения требований российского законодательства в части обработки персональных данных. Работы по данному этапу включают:

• подготовку уведомления об обработке персональных данных для отправки в надзорные органы;
• разработку положений о порядке обработки персональных данных;
• разработку разделов договоров с физическими лицами в части получения согласия на обработку персональных данных;
• разработку разделов договоров с юридическими лицами в части обработки (в том числе передачи) персональных данных;
• разработку разделов договоров с сотрудниками в части ответственности за соблюдение установленного порядка обработки персональных данных;
• подготовку проектов иных внутренних нормативно-правовых актов (приказов, распоряжений и т.д.).

Разработка частных моделей угроз и частных технических заданий

Разработка частной модели угроз и частного технического задания на создание системы защиты персональных данных осуществляется на основании сведений, полученных на этапе обследования, для каждой информационной системы, в которой осуществляется автоматизированная обработка персональных данных.

Частная модель угроз подготавливается с учетом методических документов ФСТЭК России и включает:

• перечень возможных нарушителей;
• перечень угроз безопасности персональных данных с оценкой их актуальности.

Частное техническое задание на создание системы защиты персональных данных содержит перечень требований к системе защиты информации, позволяющих нейтрализовать выявленные угрозы, и служит основой для дальнейшего проектирования системы защиты. В техническом задании приводится детальный перечень состава работ, а также перечень отчетных материалов по каждому из последующих этапов.

Техническое проектирование системы защиты информации

На этапе технического проектирования разрабатывается проект системы защиты информации информационной системы персональных данных и оформляется комплект технической документации на каждую из информационных систем, в которых производится обработка персональных данных.

Техническое проектирование осуществляется на основании частного технического задания на создание системы защиты. При разработке учитываются требования ФСТЭК России и ФСБ России к обеспечению безопасности персональных данных при их автоматизированной обработке в информационных системах персональных данных.

На основании разработанного технического проекта подготавливается коммерческое предложение на вторую стадию работ по построению системы защиты персональных данных.

Внедрение системы защиты

На этапе реализации системы защиты выполняются работы по поставке, установке и настройке компонентов системы защиты информации в соответствии с разработанным техническим проектом. Также на данном этапе оформляется комплект эксплуатационной документации на систему защиты информации.

В процессе внедрения системы защиты проводится обучение сотрудников Заказчика по эксплуатации системы и администрированию средств защиты информации.
Кроме того, на этапе внедрения осуществляется подготовка Заказчика к получению лицензий ФСТЭК России и ФСБ России:

• лицензии ФСТЭК России на деятельность по технической защите конфиденциальной информации;
• лицензии ФСБ России на деятельность по распространению шифровальных (криптографических) средств;
• лицензии ФСБ России на деятельность по техническому обслуживанию шифровальных (криптографических) средств;
• лицензии ФСБ России на предоставление услуг в области шифрования информации.

Необходимость получения лицензий ФСБ России уточняется по результатам технического проектирования, исходя из используемых средств защиты информации.

Аттестация по требованиям безопасности информации

На стадии аттестации по требованиям безопасности информации выполняется комплекс работ по подготовке и проведению аттестационных испытаний. По результатам аттестационных испытаний выдается аттестат соответствия требованиям безопасности информации установленного образца. Все работы по аттестации проводятся совместно с ведущими российскими испытательными лабораториями.

По всем вопросам обращайтесь по адресу security@infosystem.ru, Игорь Хайров.