1. Настоящий документ подготовлен в рамках реализации мероприятий, утвержденных Положением о мерах по организации защиты информационных систем персональных

Скачать 492.94 Kb.

Название	1. Настоящий документ подготовлен в рамках реализации мероприятий, утвержденных Положением о мерах по организации защиты информационных систем персональных
страница	5/5
Тип	Документы

rykovodstvo.ru > Руководство эксплуатация > Документы

1 2 3 4 5

ЗАКЛЮЧЕНИЕ

1. Актуальными угрозами безопасности ПДн в ИСПДн №1 являются:

- угрозы от действий вредоносных программ (вирусов);

- угрозы утраты ключей и атрибутов доступа;

- доступ к информации, копирование, модификация, уничтожение лицами, не допущенными к ее обработке

- разглашение информации, копирование, модификация, уничтожение Работниками, допущенными к ее обработке

- угрозы выявления паролей по сети;

- угрозы внедрения по сети вредоносных программ;

- угрозы, связанные с наличием недекларированных возможностей в прикладном ПО, используемом в ИСПДн.

2. Необходимо выполнение следующих требований:

- организация режима обеспечения безопасности помещений, в которых размещена ИСПДн №1, препятствующего возможности неконтролируемого проникновения или пребывания в этих помещениях лиц, не имеющих права доступа в эти помещения;

- обеспечение сохранности носителей персональных данных;

- утверждение Генеральным директором Общества документа, определяющего перечень лиц, доступ которых к персональным данным, обрабатываемым в ИСПДн №1, необходим для выполнения ими трудовых обязанностей;

-использование средств защиты информации, прошедших процедуру оценки соответствия требованиям законодательства Российской Федерации в области обеспечения безопасности информации, в случае, когда применение таких средств необходимо для нейтрализации актуальных угроз;

- реализация парольной политики, устанавливающая обязательную сложность и периодичность смены пароля;

- методы и средства аутентификации пользователей на основе usb-ключей, паролей и логинов доступа

- технически обеспечить обязательную регистрацию и учет всех действий, которые пользователи совершают с персональными данными в ИСПДн №1

- мероприятия по контролю доступа в контролируемую зону лиц, не имеющих доступа к обработке ПДн

- регулярный инструктаж пользователей о мерах предотвращения вирусного заражения

-организация постоянного контроля над выполнением пользователями инструкций по обеспечению защиты ПДн, положений парольной политики, и за их действиями в случаях утраты или компрометации паролей

- подписание пользователями документа о неразглашении ПДн.

3. Состав и содержание мер по обеспечению безопасности ПДн в ИСПДн №1

В соответствии с требованиями Приказа ФСТЭК России от 18 февраля 2013 г. № 21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных» Обществу необходимо обеспечить базовый состав мер по обеспечению 3 уровня защищенности персональных данных в ИСПДн №1, приведенный в таблице №6.

Таблица №6

Условное обозначение и номер меры*	Содержание мер по обеспечению безопасности персональных данных**
I. Идентификация и аутентификация субъектов доступа и объектов доступа (ИАФ)
ИАФ.1	Идентификация и аутентификация пользователей, являющихся работниками оператора
ИАФ.2	Идентификация и аутентификация устройств, в том числе стационарных, мобильных и портативных
ИАФ.З	Управление идентификаторами, в том числе создание, присвоение, уничтожение идентификаторов
ИАФ.4	Управление средствами аутентификации, в том числе хранение, выдача, инициализация, блокирование средств аутентификации и принятие мер в случае утраты и (или) компрометации средств аутентификации
ИАФ.5	Защита обратной связи при вводе аутентификационной информации
ИАФ.6	Идентификация и аутентификация пользователей, не являющихся работниками оператора (внешних пользователей)
II. Управление доступом субъектов доступа к объектам доступа (УПД)
УПД.1	Управление (заведение, активация, блокирование и уничтожение) учетными записями пользователей, в том числе внешних пользователей
УПД.2	Реализация необходимых методов (дискреционный, мандатный, ролевой или иной метод), типов (чтение, запись, выполнение или иной тип) и правил разграничения доступа
УПД.З	Управление (фильтрация, маршрутизация, контроль соединений, однонаправленная передача и иные способы управления) информационными потоками между устройствами, сегментами информационной системы, а также между информационными системами
УПД.4	Разделение полномочий (ролей) пользователей, администраторов и лиц, обеспечивающих функционирование информационной системы
УПД.5	Назначение минимально необходимых прав и привилегий пользователям, администраторам и лицам, обеспечивающим функционирование информационной системы
УПД.6	Ограничение неуспешных попыток входа в информационную систему (доступа к информационной системе)
УПД.10	Блокирование сеанса доступа в информационную систему после установленного времени бездействия (неактивности) пользователя или по его запросу
УПД.11	Разрешение (запрет) действий пользователей, разрешенных до идентификации и аутентификации
УПД.13	Реализация защищенного удаленного доступа субъектов доступа к объектам доступа через внешние информационно-телекоммуникационные сети
УПД.14	Регламентация и контроль использования в информационной системе технологий беспроводного доступа
УПД.15	Регламентация и контроль использования в информационной системе мобильных технических средств
УПД.16	Управление взаимодействием с информационными системами сторонних организаций (внешние информационные системы)
IV. Защита машинных носителей персональных данных (ЗНИ)
ЗНИ.8	Уничтожение (стирание) или обезличивание персональных данных на машинных носителях при их передаче между пользователями, в сторонние организации для ремонта или утилизации, а также контроль уничтожения (стирания) или обезличивания
V. Регистрация событий безопасности (РСБ)
РСБ.1	Определение событий безопасности, подлежащих регистрации, и сроков их хранения
РСБ.2	Определение состава и содержания информации о событиях безопасности, подлежащих регистрации
РСБ.З	Сбор, запись и хранение информации о событиях безопасности в течение установленного времени хранения
РСБ. 7	Защита информации о событиях безопасности
VI. Антивирусная защита (АВЗ)
АВ3.1	Реализация антивирусной защиты
АВ3.2	Обновление базы данных признаков вредоносных компьютерных программ (вирусов)
VIII. Контроль (анализ) защищенности персональных данных (АНЗ)
АНЗ.1	Выявление, анализ уязвимостей информационной системы и оперативное устранение вновь выявленных уязвимостей
АНЗ.2	Контроль установки обновлений программного обеспечения, включая обновление программного обеспечения средств защиты информации
АНЗ.3	Контроль работоспособности, параметров настройки и правильности функционирования программного обеспечения и средств защиты информации
АНЗ.4	Контроль состава технических средств, программного обеспечения и средств защиты информации
XI. Защита среды виртуализации (ЗСВ)
ЗСВ.1	Идентификация и аутентификация субъектов доступа и объектов доступа в виртуальной инфраструктуре, в том числе администраторов управления средствами виртуализации
ЗСВ.2	Управление доступом субъектов доступа к объектам доступа в виртуальной инфраструктуре, в том числе внутри виртуальных машин
ЗСВ.3	Регистрация событий безопасности в виртуальной инфраструктуре
ЗСВ.9	Реализация и управление антивирусной защитой в виртуальной инфраструктуре
ЗСВ.10	Разбиение виртуальной инфраструктуры на сегменты (сегментирование виртуальной инфраструктуры) для обработки персональных данных отдельным пользователем и (или) группой пользователей
XII. Защита технических средств (ЗТС)
ЗТС.3	Контроль и управление физическим доступом к техническим средствам, средствам защиты информации, средствам обеспечения функционирования, а также в помещения и сооружения, в которых они установлены, исключающие несанкционированный физический доступ к средствам обработки информации, средствам защиты информации и средствам обеспечения функционирования информационной системы, в помещения и сооружения, в которых они установлены
ЗТС.4	Размещение устройств вывода (отображения) информации, исключающее ее несанкционированный просмотр
XIII. Защита информационной системы, ее средств, систем связи и передачи данных (ЗИС)
ЗИС.3	Обеспечение защиты персональных данных от раскрытия, модификации и навязывания (ввода ложной информации) при ее передаче (подготовке к передаче) по каналам связи, имеющим выход за пределы контролируемой зоны, в том числе беспроводным каналам связи
ЗИС.20	Защита беспроводных соединений, применяемых в информационной системе
XV. Управление конфигурацией информационной системы и системы защиты персональных данных (УКФ)
УКФ.1	Определение лиц, которым разрешены действия по внесению изменений в конфигурацию информационной системы и системы защиты персональных данных
УКФ.2	Управление изменениями конфигурации информационной системы и системы защиты персональных данных
УКФ.3	Анализ потенциального воздействия планируемых изменений в конфигурации информационной системы и системы защиты персональных данных на обеспечение защиты персональных данных и согласование изменений в конфигурации информационной системы с должностным лицом (работником), ответственным за обеспечение безопасности персональных данных
УКФ.4	Документирование информации (данных) об изменениях в конфигурации информационной системы и системы защиты персональных данных

* - Номер меры приведен в соответствии с Приказом ФСТЭК №21

** - Нумерация содержания мер приведена в соответствии с Приказом ФСТЭК №21

Председатель Комиссии по персональным данным:

Директор по общим вопросам __________________ _____________

Члены комиссии:

Администратор ПДн

Специалист по защите информации __________________ _______________

Системный администратор

информационно-технического отдела __________________ ______________

Начальник юридического отдела __________________ _______________

Начальник отдела кадров __________________ ______________

«___» _____ 201__ года

1 2 3 4 5

Похожие:

	О мерах по организации защиты информационных систем персональных данных ООО «нпо «скат» Целью настоящего Положения является обеспечение безопасности испдн Общества от всех видов угроз, внешних и внутренних, умышленных...		Инструкция по организации антивирусной защиты информационных систем... «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных...
	Рекомендации по проведению работ в подведомственных Рособразованию... В соответствии с рекомендациями фстэк россии обеспечение защиты информационных систем персональных данных (ПДн) включает следующие...		Должностная инструкция администратора информационной системы персональных данных Настоящий документ подготовлен в рамках выполнения работ по обеспечению безопасного администрирования информационной системы персональных...
	Обработки персональных данных и реализуемых требованиях к защите персональных данных Целью настоящей Политики является обеспечение безопасности объектов защиты оператора в информационных системах от всех видов угроз,...		Инструкция по организации антивирусной защиты информационных систем персональных данных
	Техническое задание на выполнение работ по созданию системы защиты... Настоящий документ содержит техническое задание на выполнение работ по созданию системы защиты персональных данных и оценке эффективности...		Федеральная служба по надзору в сфере защиты прав потребителей и благополучия человека Испдн) Управления Роспотребнадзора по Удмуртской Республике (далее – Управление), а также с целью обеспечения реализации мероприятий,...
	Приказ Фз «О персональных данных» и в целях обеспечения мер по обеспечению безопасности персональных данных, подлежащих реализации в информационной...		Инструкция администратора безопасности информационных систем персональных данных ООО ук «Атал» Администратор безопасности информационных систем персональных данных (далее – Администратор) назначается приказом ООО ук «Атал» (далее...
	Приказ 30 декабря 2010 года №217 Об утверждении Инструкции по работе... В целях защиты персональных данных, используемых в министерстве финансов и налоговой политики Новосибирской области и реализации...		Руководство Общества привержено обеспечению защиты персональных данных... Целью настоящей Политики является определение основных положений по организации защиты персональных данных, являющихся частью информационных...
	Инструкция администратора информационных систем персональных данных Администратор информационных систем персональных данных (испдн) (далее – Администратор) назначается приказом директора мбоу сош с....		Методические рекомендации исполнительным органам государственной... Приказ о назначении сотрудников, ответственных за обеспечение безопасности персональных данных при их обработке в информационных...
	М. В. Андреев 09 февраля 2015 года политика информационной безопасности... Основные принципы обеспечения информационной безопасности информационных систем персональных данных администрации Новоузенского муниципального...		Приказ о назначении ответственного лица в области обработки и защиты... Постановление Правительства Российской Федерации от 1 ноября 2012 г. №1119 «Об утверждении требований к защите персональных данных...

Руководство, инструкция по применению