Положение об антивирусной защите (расширенный комплект)

Компьютерным вирусом называется программа, способная создавать свои копии (не обязательно полностью совпадающие с оригиналом) и внедрять их в различные объекты или ресурсы компьютерных систем, сетей и так далее без ведома пользователя. При этом копии сохраняют способность дальнейшего распространения. На сегодняшний день известно 6 основных типов вирусов: файловые, загрузочные, призраки (полиморфные), невидимки, скрипт-вирусы и макро-вирусы. Следует отличать вирусы от вредоносных кодов. К ним относятся Интернет-черви и программы, получившие название "Троянские кони".

Основные симптомы вирусного поражения: замедление работы некоторых программ, увеличение размеров файлов (особенно выполняемых), появление не существовавших ранее подозрительных файлов, уменьшение объема доступной оперативной памяти (по сравнению с обычным режимом работы), внезапно возникающие разнообразные видео и звуковые эффекты. При всех перечисленных выше симптомах, а также при других странных проявлениях в работе системы (неустойчивая работа, частые самостоятельные перезагрузки и прочее) следует немедленно произвести проверку системы на наличие вирусов.

Зараженный диск - это диск, в загрузочном секторе которого находится программа - вирус. После запуска программы, содержащей вирус, становится возможным заражение других файлов. Наиболее часто вирусом заражаются загрузочный сектор диска и исполняемые файлы, имеющие расширения ЕХЕ. СОМ, SYS или ВАТ. Крайне редко заражаются текстовые и графические файлы.

Зараженная программа - это программа, содержащая внедренную в нее программу-вирус.

1.1. Настоящее Положение определяет требования к организации защиты Информационной банковской системы (ИБС) от воздействия компьютерных вирусов и устанавливает ответственность руководителей и сотрудников подразделений, эксплуатирующих и сопровождающих ИБС, за их выполнение.

1.2. Целью мероприятий по антивирусной защите является предотвращение потерь информации в Информационной банковской системе.

1.2. Задачами антивирусной защиты являются:

• определение состава и регламента запуска антивирусных диагностических средств, регламента их ревизии и обновления;
• проведение профилактических работ с применением антивирусных диагностических средств;
• непрерывное обеспечение защиты информации от действия вредоносных программ на всех этапах эксплуатации Информационной банковской системы.

1.4. Уровни ИБС, в силу своей специфики подлежащие защите от вирусов различными способами:

• шлюзы Интернет – проверка входящего/исходящего потоков Интернет - трафика Организации;
• подсистемы электронной почты – контроль входящей/исходящей почты и прикрепленных файлов;
• серверы;
• рабочие станции пользователей.

3.1. Председатель Правления Организации обеспечивает организацию работ по антивирусной защите.

3.2. В Организации планированием и проведением мероприятий по антивирусной защите занимаются выделенные для выполнения таких работ сотрудники Управления информационных технологий.

3.3. К использованию в Организации допускаются только лицензионные антивирусные средства, централизованно закупленные Управлением информационных технологий у разработчиков (поставщиков) указанных средств, рекомендованные к применению Отделом информационной безопасности.

В случае необходимости использования антивирусных средств, не вошедших в перечень рекомендованных, их применение необходимо согласовать с Отделом информационной безопасности Организации.

3.4. Установка средств антивирусной защиты на компьютерах в Организации осуществляется уполномоченными сотрудниками Управления информационных технологий. Настройка параметров средств антивирусной защиты осуществляется сотрудниками Управления информационных технологий в соответствии руководствами по применению конкретных антивирусных средств.

3.5. Обновление антивирусных баз должно производиться не реже 1 раза в сутки автоматически, согласно возможностям программного обеспечения. В случае сбоя автоматического обновления обновление баз производится вручную с той же периодичностью.

3.6. Мероприятия по антивирусной защите на компьютерах в Организации включают в себя:

• профилактика вирусов;
• анализ ситуаций;
• применение средств антивирусной защиты;
• проведение расследований инцидентов связанных с вирусами.

4.1. Регулярно проводимые профилактические работы по выявлению вирусов могут полностью исключить появление и распространение вирусов в компьютере. К основным профилактическим работам и мероприятиям относятся:

• ежедневная автоматическая проверка наличия вирусов при включении компьютера;
• регулярная (не реже одного раза в квартал) выборочная проверка компьютеров на наличие вирусов, даже при отсутствии внешних проявлений вирусов;
• изучение информации по сообщениям в компьютерных журналах, газетах и Интернете о новых вирусах;
• проверка наличия вирусов на компьютере, вернувшихся с ремонта (в том числе гарантийного) в сторонних организациях;
• создание резервной копии программного продукта сразу же после приобретения;
• системные дискеты и дискеты с наиболее важными программами защищаются от записи на них информации путем установки переключателя на 3-5"-дискетах в положение только чтения - тем самым вирусы не смогут проникнуть на дискеты;
• тщательная проверка всех поступающих и купленных программ и баз данных;
• ограничение доступа к компьютеру посторонних лиц.

4.2. Регулярную выборочную проверку наличия вирусов выполняет сотрудник Управления информационных технологий.

4.3. При обнаружении вирусов на компьютере, работающем в локальной сети, проверке подлежат все компьютеры, включенные в эту сеть и работающие с общими данными и программным обеспечением.

4.4. Создание резервной копии программного продукта выполняет сотрудник Управления информационных технологий, ответственный за внедрение этого программного продукта.

4.5. Проверку всех поступающих и купленных программ выполняет Управление информационных технологий.

5.1. Если антивирусные программы выдают на экран дисплея сообщения о подозрении на наличие вирусов на компьютере, то прежде всего необходимо убедиться в действительном наличии вирусов. Возможны ситуации, при которых эти сообщения являются следствием неисправности компьютера.

При возникновении подобной ситуации необходимо приостановить работу и немедленно известить об этом руководителя подразделения, ответственного за информационную безопасность в подразделении, сотрудников Управления информационных технологий, а также смежные подразделения, использующие эти файлы в работе.

5.2. Анализ ситуации наличия вирусов или неисправности какого-либо устройства компьютера выполняет сотрудник Управления информационных технологий совместно с ответственным за информационную безопасность в подразделении. При анализе могут использоваться специальные программы проверки исправности компьютера. В результате анализа делается вывод либо об уничтожении вирусов, либо о необходимости дальнейшего восстановления работоспособности компьютера.

5.3. Основные источники вирусов:

• съемный носитель (дискета, флеш-карта, CD-ROM, DVD-ROM, мобильное дисковое устройство) на котором находятся зараженные вирусом файлы;
• компьютерная сеть, в том числе система электронной почты и Интернет;
• жесткий диск, на который попал вирус в результате работы с зараженными программами.

Если вирус проник на компьютер со съемного носителя, то необходимо определить источник и, если источник информации на съемном носителе находится в Организации, то необходимо проверить на наличие вирусов компьютер - источник информации на съемном носителе. Если источник дискеты или съемного носителя - коммерческая или другая организация, то необходимо сообщить в эту организацию о факте выявления вирусов и в дальнейшем обратить особое внимание на носители информации, поступающие из этой организации.

5.4. В случае действительного наличия вирусов привлекаются специалисты Управления информационных технологий и Отдела информационной безопасности для проведения служебного расследования.

6.1. Уничтожение вирусов выполняется сотрудником Управления информационных технологий.

6.2. Если вирус поразил какие-либо программы, то уничтожение вируса выполняется путем уничтожения программы на диске либо на дискете. После уничтожения зараженной программы необходимо восстановить программу, используя резервную копию программы.

6.3. Если вирус поразил файлы, то вирус уничтожается либо путем стирания этих файлов, либо путем использования специальных лечащих программ. Использование лечащих программ не дает полной гарантии восстановления файла. Поэтому после лечения необходима проверка восстановления данного файла. Лечащие программы используются лишь в тех случаях, когда отсутствует резервная копия зараженной программы либо файла с данными, либо восстановление уничтоженного файла с помощью резервной копии очень трудоемко.

6.4. В любом случае после уничтожения вирусов и восстановления зараженных программ и файлов с данными необходимо еще раз выполнить проверку наличия вирусов, используя антивирусные программы. Перед повторной проверкой необходимо перезагрузить компьютер через выключение и последующее включение компьютера. Если повторная проверка не выявила вирусов, то можно быть уверенным в отсутствии вирусов.

6.5. Использование специализированного программного обеспечения для восстановления системных областей (FAT, загрузочной записи, и т.п.) возможно лишь в тех случаях, когда отсутствует резервная копия диска компьютера, либо его восстановление с помощью резервной копии очень трудоемко.

7.1. Ответственность за выполнение мероприятий по антивирусной защите информации на средствах вычислительной техники, эксплуатируемых подчиненными лицами в подразделении, эксплуатирующем Информационную банковскую систему, в соответствии с требованиями настоящего Положения, возлагается на руководителя подразделения.

7.2. Ответственность за выполнение мероприятий антивирусного контроля в подразделении и соблюдение требований настоящего Положения возлагается на ответственного за обеспечение информационной безопасности в подразделении и всех сотрудников подразделения, являющихся пользователями Информационной банковской системы.

7.3. Ответственность за проведение профилактических мероприятий по обеспечению антивирусной защиты в Информационной банковской системе, а также уничтожение выявленных вирусов возлагается на сотрудников Управления информационных технологий.

7.4. Периодический контроль за состоянием антивирусной защиты в Информационной банковской системе, а также за соблюдением установленного порядка антивирусного контроля и выполнением требований настоящего Положения сотрудниками подразделений Организации осуществляется Отделом информационной безопасности.

Журнал
учета антивирусного программного обеспечения

Настоящее Инструкция определяет требования к организации защиты Информационной банковской системы (ИБС) от воздействия компьютерных вирусов, устанавливает ответственность руководителей и сотрудников подразделений, эксплуатирующих и сопровождающих ИБС, за их выполнение.

Установка средств антивирусной защиты на компьютерах и настройка их параметров в Организации осуществляется уполномоченными сотрудниками Управления информационных технологий.

Обновление антивирусных баз должно производиться не реже 1 раза в сутки автоматически, согласно возможностям программного обеспечения. В случае сбоя автоматического обновления обновление баз производится вручную с той же периодичностью.

При заражении компьютера вирусом важно его обнаружить. Для этого следует знать об основных признаках проявления вирусов. К ним можно отнести следующие:

• прекращение работы или неправильная работа ранее успешно функционировавших программ;
• медленная работа компьютера;
• невозможность загрузки операционной системы;
• исчезновение файлов и каталогов или искажение их содержимого;
• изменение даты и времени модификации файлов;
• изменение размеров файлов;
• неожиданное значительное увеличение количества файлов на диске;
• существенное уменьшение размера свободной оперативной памяти;
• вывод на экран непредусмотренных сообщений или изображений;
• подача непредусмотренных звуковых сигналов;
• частые зависания и сбои в работе компьютера.

Если антивирусные программы выдают на экран дисплея сообщения о подозрении на наличие вирусов на компьютере, то прежде всего необходимо убедиться в действительном наличии вирусов.

При возникновении подобной ситуации необходимо приостановить работу и немедленно известить об этом руководителя подразделения, ответственного за информационную безопасность в подразделении, сотрудников Управления информационных технологий, а также смежные подразделения, использующие общие программы и файлы в работе.

Анализ ситуации наличия вирусов или неисправности какого-либо устройства компьютера выполняет сотрудник Управления информационных технологий совместно ответственным за информационную безопасность в подразделении.

Основные источники вирусов:

• съемный носитель (дискета, флеш-карта, CD-ROM, DVD-ROM, мобильное дисковое устройство) на котором находятся зараженные вирусом файлы;
• компьютерная сеть, в том числе система электронной почты и Интернет;
• жесткий диск, на который попал вирус в результате работы с зараженными программами.

Если вирус проник на компьютер со съемного носителя, то необходимо определить источник и, если источник информации на съемном носителе находится в Организации, то необходимо проверить на наличие вирусов компьютер - источник информации на съемном носителе. Если источник дискеты или съемного носителя - коммерческая или другая организация, то необходимо сообщить в эту организацию о факте выявления вирусов и в дальнейшем обратить особое внимание на носители информации, поступающие из этой организации.

В случае действительного наличия вирусов привлекаются специалисты Управления информационных технологий и Отдела информационной безопасности для проведения служебного расследования.

Уничтожение вирусов выполняется сотрудником Управления информационных технологий.

Если вирус поразил какие-либо программы, то уничтожение вируса выполняется путем уничтожения программы на диске либо на дискете. После уничтожения зараженной программы необходимо восстановить программу, используя резервную копию программы.

Если вирус поразил файлы, то вирус уничтожается либо путем стирания этих файлов, либо путем использования специальных лечащих программ. Использование лечащих программ не дает полной гарантии восстановления файла. Поэтому после лечения необходима проверка восстановления данного файла. Лечащие программы используются лишь в тех случаях, когда отсутствует резервная копия зараженной программы либо файла с данными, либо восстановление уничтоженного файла с помощью резервной копии очень трудоемко.

В любом случае после уничтожения вирусов и восстановления зараженных программ и файлов с данными необходимо еще раз выполнить проверку наличия вирусов, используя антивирусные программы. Перед повторной проверкой необходимо перезагрузить компьютер через выключение и последующее включение компьютера. Если повторная проверка не выявила вирусов, то можно быть уверенным в отсутствии вирусов.

Использование специализированного программного обеспечения для восстановления системных областей (FAT, загрузочной записи, и т.п.) возможно лишь в тех случаях, когда отсутствует резервная копия диска компьютера, либо его восстановление с помощью резервной копии очень трудоемко.

• Сотрудник обязан проводить антивирусный контроль всех внешних носителей информации (дискет, компакт-дисков, магнитооптических дисков и т.п.), поступающих со стороны (из внешних организаций, других подразделений Организации и т.п.) или полученных по компьютерным сетям (скопированных на общедоступный ресурс локального компьютера другими пользователями). Если антивирусная программа не работает в фоновом режиме, самому проводить проверку всех этих файлов или обращаться для этого в Управление информационных технологий;
• Во всех случаях возможного проявления действия вирусов, обнаружения файлов, пораженных вирусом или подозрении на наличие вируса сотрудник должен:

• без попытки какого-либо лечения незамедлительно сообщить об этом любому сотруднику Управления информационных технологий и оценить с ним возможные пути заражения и распространения данного вируса;
• совместно с сотрудником Управления информационных технологий провести лечебно-восстановительные мероприятия.

• Сотрудник обязан делать резервные копии файлов, содержащих ценную служебную информацию, если эти файлы не размещены в сетевых папках на серверах Организации;
• Сотрудник не должен самостоятельно устанавливать программное обеспечение, если это не входит в его обязанности. Запрещается устанавливать и запускать нелицензионное или не относящееся к выполнению им своих должностных обязанностей программное обеспечение;
• КАТЕГОРИЧЕСКИ ЗАПРЕЩЕНО использование съёмных носителей, принадлежащих лицам, временно допущенным к работе на компьютере в Организации (студенты-практиканты, временно замещающие, сотрудники сторонних организаций и т.п.).

• Ответственность за выполнение мероприятий по антивирусной защите информации на средствах вычислительной техники, эксплуатируемых подчиненными лицами в подразделении, эксплуатирующем Информационную банковскую систему, в соответствии с требованиями настоящего Положения, возлагается на руководителя подразделения.
• Ответственность за выполнение мероприятий антивирусного контроля в подразделении и соблюдение требований настоящего Положения возлагается на ответственного за обеспечение информационной безопасности в подразделении и всех сотрудников подразделения, являющихся пользователями Информационной банковской системы.
• Ответственность за проведение профилактических мероприятий по обеспечению антивирусной защиты в Информационной банковской системе, а также уничтожение выявленных вирусов возлагается на сотрудников Управления информационных технологий.
• Периодический контроль за состоянием антивирусной защиты в Информационной банковской системе, а также за соблюдением установленного порядка антивирусного контроля и выполнением требований настоящего Положения сотрудниками подразделений Организации осуществляется Отделом информационной безопасности.

Презентация на тему: Основные этапы подготовки образовательного учреждения к реализации ФЗ 152 - О персональных данных -

1 Основные этапы подготовки образовательного учреждения к реализации ФЗ 152 «О персональных данных»

2 Требования законодательства С 1 января 2011 года начинается действие закона 152-ФЗ «О персональных данных», который должен соблюдаться в том числе в образовательных учреждениях

3 Персональные данные – это: любая информация, относящаяся к определенному физическому лицу, в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация Т.о. в школах обрабатываются персональные данные как учащихся, так и педагогов

4 Основной нормативный документ ФЗ 152-ФЗ «О персональных данных», принятый в июле 2006 г. обязывает операторов персональных данных «принять необходимые организационные и технические меры, в том числе использовать шифровальные (криптографические) средства для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных, а также от иных неправомерных действий».

5 До 1 января 2011 года Во всех ОУ должен быть выполнен комплекс работ, по итогам которого создан портфель документов (25 документов), который будут проверять контролирующие организации Положение осложняется тем, что в отличие от некоторых других ведомств, в образовании не приняты нормативные акты, утверждающие типовые ведомственные документы по защите ПД

6 Перечень документов в организации, проверяемой регуляторами* 1. Положение о защите персональных данных 2. Положение о подразделении по защите информации 3. Приказ о назначении лиц, ответственных за обработку ПДн 4. Концепция информационной безопасности 5. Политика информационной безопасности 6. Перечень персональных данных, подлежащих защите 7. Приказ о проведении внутренней проверки 8. Отчет о результатах проведения внутренней проверки 9. Акт классификации информационной системы персональных данных 10. Положение о разграничении прав доступа к обрабатываемым персональным данным * Регуляторы - ФСБ, ФСТЭК и Роскомнадзор Министерства связи и массовых коммуникаций

7 Перечень документов в организации, проверяемой регуляторами* 11. Модель угроз безопасности персональным данным 12. План мероприятий по защите ПДн 13. Порядок резервирования ТС и ПО, баз данных и Сзи 14. План внутренних проверок 15. Журнал по учету мероприятий по контролю 16. Журнал учета обращений субъектов ПДн о выполнении их законных прав 17. Инструкция администратора ИСПДн 18. Инструкция пользователя ИСПДн 19. Инструкция администратора безопасности ИСПДн 20. Инструкция пользователя по обеспечению безопасности обработки ПД при возникновении внештатных ситуаций * Регуляторы - ФСБ, ФСТЭК и Роскомнадзор Министерства связи и массовых коммуникаций

8 Перечень документов в организации, проверяемой регуляторами* 21. Перечень по учету применяемых средств защиты информации, эксплуатационной и технической документации к ним 22. Типовое Техническое задание на разработку системы обеспечения безопасности информации объекта вычислительной техники 23. Эскизный проект на создание системы обеспечения безопасности информации объекта вычислительной техники 24. Положение об Электронном журнале обращений пользователей информационных систем персональных данных (проект приказа) 25. Методические рекомендации для организации защиты информации при обработке персональных данных * Регуляторы - ФСБ, ФСТЭК и Роскомнадзор Министерства связи и массовых коммуникаций

9 Подготовка к выполнению ФЗ 152-ФЗ Выделяют 9 основных этапов организации систем защиты персональных данных

10 Этапы организации системы защиты ПД 1. Инвентаризация ресурсов 2. Ограничение доступа работников к персональным данным 3. Документальное регламентирование работы с персональными данными (ПД) 4. Формирование модели угроз персональным данным 5. Классификация Информационных систем ПД ОУ 6. Составление и отправка в уполномоченный орган уведомления об обработке ПД 7. Приведение системы защиты ПД в соответствии с требованиями регуляторов 8. Создание системы ИБ ИСПД и ее аттестация (сертификация) – для ИСПД классов К1, К2 9. Организация эксплуатации ИСПДн и контроля за безопасностью

11 Шаг 1. Инвентаризация ресурсов Проанализировать все эксплуатируемые информационные системы и традиционные хранилища данных, выявить все, где присутствуют и обрабатываются персональные данные.

12 ИС ОУ, относящиеся к ИСПДН Автоматизированная информационная библиотечная система «1С-Бюджет», «1С-Зарплата-Кадры» Электронный журнал … АРМ СЭД УФК – ОУ ИС «Налогоплательщик» ПД СПУ Пенсионного фонда

14 Шаг 2. Ограничение доступа работников к персональным данным Принятие в организации Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных (ИСПДн) Положение об обеспечении безопасности персональных данных при их обработке в ИСПДн должно включать: 12. Мероприятия по обеспечению безопасности персональных данных при их обработке в информационных системах включают в себя … учет лиц, допущенных к работе с персональными данными в информационной системе 14. Лица, доступ которых к ПД, обрабатываемым в информационной системе, необходим для выполнения служебных (трудовых) обязанностей, допускаются к соответствующим персональным сданным на основании списка, утвержденного оператором или уполномоченным лицом.

15 ШАГ 3: Документальное регламентирование работы с персональными данными Статья 86 (Трудовой кодекс РФ). Общие требования при обработке персональных данных работника и гарантии их защиты 8) работники и их представители должны быть ознакомлены под роспись с документами работодателя, устанавливающими порядок обработки персональных данных работников, а также об их правах и обязанностях в этой области

16 ШАГ 3: Документальное регламентирование работы с персональными данными Субъект ПД самостоятельно решает вопрос передачи кому-либо своих ПД, документально оформляя свое намерение. В соответствии со статьей 9 ФЗ-152 обработка персональных данных осуществляется только при условии согласия в письменной форме с указанием следующих данных: фамилия, имя, отчество, адрес субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе; наименование (фамилия, имя, отчество) и адрес оператора, получающего согласие субъекта персональных данных; цель обработки персональных данных; перечень персональных данных, на обработку которых дается согласие субъекта персональных данных; перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых оператором способов обработки персональных данных; срок, в течение которого действует согласие, а также порядок его отзыва.

17 ШАГ 4: Формирование модели угроз персональным данным 15.02.2008 г. Заместителем директора ФСТЭК России утверждены: Базовая модель угроз безопасности ПД при их обработке в ИСПД Методика определения актуальных угроз безопасности ПД при их обработке в ИСПД

18 ШАГ 5: Классификация ИСПДн ОУ (см. также комментарий к слайду – в режиме редактирования)

20 Организации, ИС которых отнесены к классам К1, К2 должны: получить лицензию ФСТЭК России на деятельность по технической защите конфиденциальной информации (для классов ИСПДн К1 и К2); т.е.направить туда по определенной форме запрос и получить лицензию, подтверждающую их соответствие

22 ШАГ 7: Приведение системы защиты персональных данных в соответствии с требованиями регуляторов* ФЗ «О персональных данных»: Статья 19. Меры по обеспечению безопасности персональных данных при их обработке 1. Оператор при обработке персональных данных обязан принимать необходимые организационные и технические меры, в том числе использовать шифровальные (криптографические) средства, для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных, а также от иных неправомерных действий * Регуляторы - ФСБ, ФСТЭК и Роскомнадзор Министерства связи и массовых коммуникаций

23 ШАГ 8. Создание подсистемы информационной безопасности ИСПДн и ее аттестация (сертификация) Включает в себя: Основные мероприятия по организации и техническому обеспечению безопасности ПД, обрабатываемых в ИСПД Оценка соответствия ИСПДн по требованиям безопасности ПДн производится: Для ИСПДн 1 и 2 классов – обязательная сертификация (аттестация) по требованиям безопасности информации

24 Перечень объектов информатизации, подлежащих аттестации в Системе сертификации средств защиты информации по требованиям безопасности информации 1. Автоматизированные системы различного уровня и назначения. 2. Системы связи, приема, обработки и передачи данных. 3. Системы отображения и размножения. 4. Помещения, предназначенные для ведения конфиденциальных переговоров.

25 ШАГ 9: Организация эксплуатации ИСПДн и контроля за безопасностью Положение об обеспечении безопасности персональных данных при их обработке в ИСПДн: 12. Мероприятия по обеспечению безопасности персональных данных при их обработке в информационных системах включают в себя: з) контроль за соблюдением условий использования СЗИ, предусмотренных эксплуатационной и технической документацией; и) разбирательство и составление заключений по фактам несоблюдения условий хранения носителей ПДн, использования СЗИ, которые могут привести к нарушению конфиденциальности ПДн…

26 Перечень документов в организации, проверяемой регуляторами 1. Положение о защите персональных данных 2. Положение о подразделении по защите информации 3. Приказ о назначении лиц, ответственных за обработку ПДн 4. Концепция информационной безопасности 5. Политика информационной безопасности 6. Перечень персональных данных, подлежащих защите 7. Приказ о проведении внутренней проверки 8. Отчет о результатах проведения внутренней проверки 9. Акт классификации информационной системы персональных данных 10. Положение о разграничении прав доступа к обрабатываемым персональным данным

27 Перечень документов в организации, проверяемой регуляторами 11. Модель угроз безопасности персональным данным 12. План мероприятий по защите ПДн 13. Порядок резервирования ТС и ПО, баз данных и Сзи 14. План внутренних проверок 15. Журнал по учету мероприятий по контролю 16. Журнал учета обращений субъектов ПДн о выполнении их законных прав 17. Инструкция администратора ИСПДн 18. Инструкция пользователя ИСПДн 19. Инструкция администратора безопасности ИСПДн 20. Инструкция пользователя по обеспечению безопасности обработки ПД при возникновении внештатных ситуаций

28 Перечень документов в организации, проверяемой регуляторами 21. Перечень по учету применяемых средств защиты информации, эксплуатационной и технической документации к ним 22. Типовое Техническое задание на разработку системы обеспечения безопасности информации объекта вычислительной техники 23. Эскизный проект на создание системы обеспечения безопасности информации объекта вычислительной техники 24. Положение об Электронном журнале обращений пользователей информационных систем персональных данных (проект приказа) 25. Методические рекомендации для организации защиты информации при обработке персональных данных

29 Этапы построения системы защиты ПДн После того, как в организации сформирована рабочая или проектная группа и выбрана сторонняя ИТ-компания, предстоит последовательно реализовать следующие этапы работы. Прежде всего, нужно определить все ситуации, когда требуется проводить сбор, хранение, передачу или обработку ПДн. Затем - выделить процессы, связанные с такими ситуациями. Разумно выбрать ограниченное число процессов и проанализировать их. В рамках такого исследования формируется перечень подразделений и сотрудников компании, участвующих в обработке ПДн в рамках своей служебной деятельности. Потом нужно определить круг информационных систем и совокупность обрабатываемых ПДн. Следующий шаг - категорирование ПДн и предварительная классификация ИС. Затем проводится выработка предложений по снижению класса обрабатываемых ПДн. После этого формируется актуальная модель угроз для каждой ИСПДн, подготавливается задание по созданию требуемой системы защиты. Потом проводится уточнение классов ИС и подготовка рекомендаций по использованию технических средств защиты ПДн. Затем в Роскомнадзор подается уведомление о деятельности в качестве оператора ПДн, а в ФСТЭК - заявка на получение экземпляров руководящих документов по организации системы защиты.

30 Этапы построения системы защиты ПДн Эти работы предстоит выполнить на первом, начальном этапе. Именно в это время закладывается фундамент успеха всего проекта и делаются основные расходы на консалтинг. Но основанная работа происходит на последующих стадиях, которые включают развертывание полноценной системы обработки ПДн, полномасштабное внедрение средств защиты, аттестацию ИС, приведение всех процессов обработки ПДн в соответствие с требованиями закона, реагирование на регулярные проверки и т.д.

31 781-е Постановление Правительства определяет 11 основных типов мероприятий. 1. Назначение ответственного лица/подразделения 2. Определение угроз безопасности ПДн и формирование модели угроз 3. Разработка на основе модели угроз системы защиты с использованием методов и способов защиты персональных данных, предусмотренных для соответствующего класса информационных систем 4. Проверка готовности систем защиты информации (СЗИ) к использованию 5. Установка и ввод в эксплуатацию СЗИ 6. Обучение персонала правилам работы с СЗИ 7. Учет применяемых СЗИ и носителей ПДн 8. Учет лиц, допущенных к работе с ПДн 9. Контроль за соблюдением условий использования СЗИ 10. Реагирование на нарушение режима защиты ПД 11. Описание системы защиты

32 Нормативные документы Рекомендации по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных Основные мероприятия по организации и техническому обеспечению безопасности персональных данных, обрабатываемых в информационных системах персональных данных Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных