Технологии защиты информации, применяемые в учреждении
Методические материалы ФСТЭК России:1) «Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных». Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации" от 15 сентября 2008 г. № 687. Об утверждении Требований к защите персональных данных при их обработке… Читать ещё >
Технологии защиты информации, применяемые в учреждении (реферат, курсовая, диплом, контрольная)
Организационно-правовая защита
Правовое обеспечение
Перечень нормативных документов, регламентирующих деятельность в области защиты информации:
- а) Конституция РФ
- б) Гражданский кодекс РФ
- в) Трудовой кодекс РФ (гл. 14, ст.85−90)
- г) Законы РФ:
«О персональных данных» от 27 июля 2006 г. № 152-ФЗ (на основе изменений, внесенных Федеральным законом от 21.07.2014 N 216-ФЗ) д) Указы президента РФ:
«Об утверждении перечня сведений конфиденциального характера» от 6 марта 1997 г. № 188.
- е) Постановления Правительства РФ:
- 1) «О перечне сведений, которые не могут составлять коммерческую тайну» от 5 декабря 1991 г. № 35
- 2) «Об утверждении Требований к защите персональных данных при их обработке в информационных системах персональных данных» от 01 ноября 2012 г. № 1119
- 3) «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации» от 15 сентября 2008 г. № 687
- ж) Приказы ФСТЭК России:
«О составе и содержании мер по обеспечению безопасности персональных данных в ИСПДн».
- и) Методические материалы ФСТЭК России:
- 1) «Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных»
- 2) «Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных»
- к) Методические материалы ФСБ:
- 1) «Методические рекомендации по обеспечению с помощью криптосредств безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств автоматизации»
- 2) «Типовые требования по организации и обеспечению функционирования шифровальных (криптографических) средств, предназначенных для защиты информации, не содержащей сведений, составляющих государственную тайну, в случае их использования для обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных»
- л) Приказ ФСТЭК РФ, ФСБ РФ, Мининформсвязи РФ:
«Об утверждении Порядка проведения классификации информационных систем» «55/86/20.
- м) Стандарты по защите от НСД к информации:
- 1) ГОСТ Р 50 922−2006. «Защита информации. Основные термины и определения»
- 2) ГОСТ Р 34.11−2012 «Информационная технология. Криптографическая защита информации. Функция хэширования»
Локальные нормативно-правовые акты:
- а) Документы, определяющие правила обработки персональных данных:
- 1) Политика информационной безопасности;
- 2) Концепция обеспечения безопасности информации в информационных системах муниципального образования города Иркутска;
- 3) Положение о защите персональных данных администрации;
- 4) Положение об обработке персональных данных в администрации;
- 5) Положение о защите персональных данных работников администрации" (ознакомление под расписку);
- 6) Приказ по администрации о проведении резервного копирования данных, находящихся на серверах учреждения (во исполнение Федерального закона от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и защите информации»);
- б) Перечни ИС ПДн:
Перечень информационных систем персональных данных, собственником которых является администрация города Иркутска (Постановление Мэра города Иркутска «Об обеспечении учета информационных систем персональных данных»).
в) Должностная инструкция ответственного за организацию обработки ПДн:
пункт 5 «Ответственность»: за распространение и/или необеспечение защиты ПДн, находящихся в информационной системе.
г) Порядок доступа служащих государственного или муниципального органа в помещения, в которых ведется обработка персональных данных:
Приказ о доступе в помещение серверной комнаты.
- д) Назначение ответственного за организацию обработки персональных данных в Учреждении из числа служащих данного Учреждения:
- 1) Приказ о назначении ответственных за обеспечение безопасности персональных данных;
- 2) Приказ о назначении ответственных за сбор, обработку и хранение персональных данных и доступа к ним;
- 3) приказы и распоряжения начальников департаментов и председателей комитетов о назначении ответственных лиц за взаимодействие с рабочей группой по реализации Плана мероприятий, направленных на защиту персональных данных в информационных системах персональных данных администрации города Иркутска.
- е) Инструкции:
- 1) Инструкции по эксплуатации информационной системы администрации города Иркутска;
- 2) Инструкция по удалению учетных записей пользователей по их идентификаторам;
- 3) Инструкция по грифам доступа;
- 7) Инструкция по настройке ЭЦП;
- 8) Инструкция по обновлению кода;
- 9) Инструкция по противопожарной безопасности при эксплуатации оборудования и проведении работ в серверной комнате и аккумуляторном помещении;
- 10) Инструкция о действиях администратора при ЧП;
- 11) Инструкция о мерах пожарной безопасности в административных зданиях и помещениях;
- 12) Инструкция о действиях при пожаре;
- 13) Инструкции по охране труда;
- 14) Инструкция по серверной и аккумуляторному помещению;
- 15) Инструкция при работе с КМА;
- 16) Инструкция по оказанию первой доврачебной помощи;
- 17) Инструкция по охране труда при работе на ПЭВМ;
- 18) Инструкция по электробезопасности для работников учреждения;
- 19) Инструкция о порядке действия при угрозе и возникновении ЧС террористического характера;
- 20) Инструкция по делопроизводству в администрации
- 21) Технологическая инструкция.
Другие документы:
- 1) Модель угроз информационной системы «1С:Зарплата и Кадры» (модель вероятного нарушителя);
- 2) Приказ о создании комиссии для определения классификации информационных систем персональных данных (на основании Федерального Закона от 27.07.2006 г. № 152-ФЗ «О персональных данных»).
Типовые формы документов:
- 1) расписка об ознакомлении работника с Положением о защите персональных данных;
- 2) соглашение (обязательство) о неразглашении сведений конфиденциального характера, полученных в ходе исполнения служебных обязанностей;
- 3) письменное согласие субъекта персональных данных на получение его персональных данных у третьих лиц;
- 4) согласие субъекта персональных данных на обработку его персональных данных;
- 5) согласие субъекта персональных данных о включении информации о его персональных данных;
- 6) запрос о доступе субъекта персональных данных к своим персональным данным;
- 7) уведомление об уничтожении, (изменении, прекращении обработки, устранении нарушений персональных данных);
- 8) акт классификации информационной системы персональных данных;
- 9) уведомление о получении персональных данных субъекта персональных данных от третьих лиц.
Документы, подтверждающие приобретение лицензий:
- 1) акт приема-передачи неисключительного ограниченного права на лицензионное программное обеспечение Symantec Endpoint Protection (ПО:Symantec Endpoint Protection 11.0 BNDL STD LIC GOV BAND A BASIC 12 MO, ПО: Symantec Endpoint Protection 11.0 BASIC-12 MONTHS GOV BAND A, ПО: Symantec Endpoint Protection 11.0 BASIC-12 MONTHS GOV BAND A) (всех по 780шт) (итого 390 000)
- 2) спецификация на программно-аппаратные средства СЗИ (система защиты информации Zlock-Box, модуль системы защиты информации Zlock) (итого 98 100)
- 3) акт приема-передачи неисключительных прав на лицензионное программное обеспечение (лицензия WinSvrEnt 2008R2 RUS OLP NL Acdmc (P72−4 201), лицензия WinRmtDsktpSrvcsCAL 2008 RUS OLP NL Acdmc DvcCAL (6VC-1 054)) (итого 42 472)
- 4) акт приема-передачи на поставку лицензий на право неисключительного пользования программным продуктом (Windows Server Enterprise 2008 R2 RusGov OPEN Level A (P72−4 230), SQL Server Standart Edition 2008 R2 Russian Government OPEN 1 License Level 1 A Proc (228−9 481) (всех по 2шт) (итого 515 850))