Информационные системы
<<  Направления учебного процесса кафедры стратегического управления информационными системами Управляющий объект объект управления 4 класс  >>
«Проблемы защиты персональных данных в информационных системах
«Проблемы защиты персональных данных в информационных системах
Нормативная база Указ Президента РФ от 6 марта 1997 г
Нормативная база Указ Президента РФ от 6 марта 1997 г
Нормативная база Документы ФСТЭК России: «Базовая модель угроз
Нормативная база Документы ФСТЭК России: «Базовая модель угроз
Нормативная база Документы ФСБ России: «Типовые требования по
Нормативная база Документы ФСБ России: «Типовые требования по
Нормативная база Документы Россвязькомнадзора: Положение о Федеральной
Нормативная база Документы Россвязькомнадзора: Положение о Федеральной
Цель классификации «ИСПДн класса К с уровнем криптографической защиты
Цель классификации «ИСПДн класса К с уровнем криптографической защиты
Системы информации организации
Системы информации организации
Система обработки ПДн с использованием средств автоматизации
Система обработки ПДн с использованием средств автоматизации
Типовая ИСПДн (ФСТЭК)
Типовая ИСПДн (ФСТЭК)
Специальная ИСПДн (ФСТЭК)
Специальная ИСПДн (ФСТЭК)
Автоматизированная информационная система (ФСБ)
Автоматизированная информационная система (ФСБ)
Проблемы защиты персональных данных в информационных системах
Проблемы защиты персональных данных в информационных системах
Категории персональных данных категория 1 - персональные данные,
Категории персональных данных категория 1 - персональные данные,
Объем персональных данных 1 - в информационной системе одновременно
Объем персональных данных 1 - в информационной системе одновременно
Характеристики безопасности ОСНОВНЫЕ: КОНФИДЕНЦИАЛЬНОСТЬ ЦЕЛОСТНОСТЬ
Характеристики безопасности ОСНОВНЫЕ: КОНФИДЕНЦИАЛЬНОСТЬ ЦЕЛОСТНОСТЬ
Структура системы автономные (не подключенные к иным информационным
Структура системы автономные (не подключенные к иным информационным
Режим обработки ОДНОПОЛЬЗОВАТЕЛЬСКИЙ МНОГОПОЛЬЗОВАТЕЛЬСКИЙ
Режим обработки ОДНОПОЛЬЗОВАТЕЛЬСКИЙ МНОГОПОЛЬЗОВАТЕЛЬСКИЙ
Режим разграничения прав доступа БЕЗ РАЗГРАНИЧЕНИЯ ПРАВ ДОСТУПА С
Режим разграничения прав доступа БЕЗ РАЗГРАНИЧЕНИЯ ПРАВ ДОСТУПА С
Классификация типовой системы класс 1 (К1) - информационные системы,
Классификация типовой системы класс 1 (К1) - информационные системы,
Таблица классификации
Таблица классификации
Типовая информационная система Информационные системы, требующие
Типовая информационная система Информационные системы, требующие
Система моделей угроз
Система моделей угроз
Оценка актуальных угроз оценка уровня исходной защищенности Y1(0;5;10
Оценка актуальных угроз оценка уровня исходной защищенности Y1(0;5;10
Оценка актуальных угроз экспертное оценивание вероятности реализации
Оценка актуальных угроз экспертное оценивание вероятности реализации
Оценка актуальных угроз оценка реализуемости угрозы Y Y = ( Y1+Y2 )/20
Оценка актуальных угроз оценка реализуемости угрозы Y Y = ( Y1+Y2 )/20
Оценка актуальных угроз экспертное оценивание опасности угрозы НИЗКАЯ
Оценка актуальных угроз экспертное оценивание опасности угрозы НИЗКАЯ
Оценка актуальных угроз оценка актуальности угрозы
Оценка актуальных угроз оценка актуальности угрозы
Организационно-нормативные документы Базовый комплект включает:
Организационно-нормативные документы Базовый комплект включает:
Система защиты ИСПДн
Система защиты ИСПДн
Персональные данные в ТГТУ
Персональные данные в ТГТУ
Категория ПД в ТГТУ
Категория ПД в ТГТУ
Классы информационных систем (ИС)
Классы информационных систем (ИС)
Принимаемые меры защиты
Принимаемые меры защиты
Спасибо за внимание
Спасибо за внимание

Презентация: «По типовым средства автоматизированных информационных систем». Автор: Roman. Файл: «По типовым средства автоматизированных информационных систем.ppt». Размер zip-архива: 479 КБ.

По типовым средства автоматизированных информационных систем

содержание презентации «По типовым средства автоматизированных информационных систем.ppt»
СлайдТекст
1 «Проблемы защиты персональных данных в информационных системах

«Проблемы защиты персональных данных в информационных системах

Тамбовского ГТУ»

Тамбов, 23 апреля 2009 года

2 Нормативная база Указ Президента РФ от 6 марта 1997 г

Нормативная база Указ Президента РФ от 6 марта 1997 г

ормативная база Указ Президента РФ от 6 марта 1997 г. № 188 "Об утверждении перечня сведений конфиденциального характера"; ФЗ от 19 декабря 2005 г. №160-ФЗ «О ратификации Конвенции Совета Европы «О защите физических лиц при автоматизированной обработке персональных данных»; ФЗ от 27 июля 2006 г. № 152-ФЗ «О персональных данных»; Постановление Правительства РФ от 17 ноября 2007 г. № 781, утверждающее «Положение об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных»; Совместный приказ от 13. 02. 2008 г. № 55/86/20 ФСТЭК, ФСБ, Мининформсвязь, утверждающий «Порядок проведения классификации информационных систем персональных данных»; Постановление Правительства РФ от 15 сентября 2008 г. № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»;

3 Нормативная база Документы ФСТЭК России: «Базовая модель угроз

Нормативная база Документы ФСТЭК России: «Базовая модель угроз

безопасности персональных данных при их обработке в информационных системах персональных данных»; «Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных»; «Основные мероприятия по организации и техническому обеспечению безопасности персональных данных, обрабатываемых в информационных системах персональных данных»; «Рекомендации по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных».

4 Нормативная база Документы ФСБ России: «Типовые требования по

Нормативная база Документы ФСБ России: «Типовые требования по

организации и обеспечению функционирования шифровальных (криптографических) средств, предназначенных для защиты информации, не содержащей сведений, составляющих государственную тайну, в случае их использования для обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных»; «Методические рекомендации по обеспечению с помощью криптосредств безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств автоматизации».

5 Нормативная база Документы Россвязькомнадзора: Положение о Федеральной

Нормативная база Документы Россвязькомнадзора: Положение о Федеральной

службе по надзору в сфере связи и массовых коммуникаций (Постановление Правительства РФ от 2 июня 2008 г. №419 «О федеральной службе по надзору в сфере связи и массовых коммуникаций») Приказ Россвязькомнадзора от 28 марта 2008 г. № 154 «Об утверждении положения о ведении реестра операторов, осуществляющих обработку персональных данных» Приказ Россвязькомнадзора от 17 июля 2008 г. №8 «Об утверждении образца формы уведомления об обработке персональных данных»

6 Цель классификации «ИСПДн класса К с уровнем криптографической защиты

Цель классификации «ИСПДн класса К с уровнем криптографической защиты

по классу АК»

Класс системы (ФСТЭК + ФСБ)

Требования к средствам защиты

Выбор мер и средств защиты

7 Системы информации организации

Системы информации организации

Система обработки ПДн без использования средств автоматизации

Система обработки ПДн с использованием средств автоматизации

Идентификация систем обработки персональных данных

Определение характеристик ПДн

Первичная классификация систем обработки ПДн

8 Система обработки ПДн с использованием средств автоматизации

Система обработки ПДн с использованием средств автоматизации

Типовая ИСПДн (ФСТЭК)

Специальная ИСПДн (ФСТЭК)

Автоматизированная информационная система (ФСБ)

Определение типа системы обработки ПДн

9 Типовая ИСПДн (ФСТЭК)

Типовая ИСПДн (ФСТЭК)

Требования ФСТЭК, ФСБ

Классификация ИСПДн

Документальное оформление

Акт оператора

10 Специальная ИСПДн (ФСТЭК)

Специальная ИСПДн (ФСТЭК)

Требования ФСТЭК и ФСБ к ИСПДн

Классификация ИСПДн

Определение актуальных угроз

Документальное оформление

Специальные требования к системе защиты информации

11 Автоматизированная информационная система (ФСБ)

Автоматизированная информационная система (ФСБ)

Требования ФСБ к ИСПДн и АИС («К»)

Разработка модели нарушителя АИС

Классификация АИС

Требования ФСБ к АИС

12 Проблемы защиты персональных данных в информационных системах
13 Категории персональных данных категория 1 - персональные данные,

Категории персональных данных категория 1 - персональные данные,

касающиеся расовой, национальной принадлежности, политических взглядов, религиозных и философских убеждений, состояния здоровья, интимной жизни; категория 2 - персональные данные, позволяющие идентифицировать субъекта персональных данных и получить о нем дополнительную информацию, за исключением персональных данных, относящихся к категории 1; категория 3 - персональные данные, позволяющие идентифицировать субъекта персональных данных; категория 4 - обезличенные и (или) общедоступные персональные данные.

14 Объем персональных данных 1 - в информационной системе одновременно

Объем персональных данных 1 - в информационной системе одновременно

обрабатываются персональные данные более чем 100 000 субъектов персональных данных или персональные данные субъектов персональных данных в пределах субъекта Российской Федерации или Российской Федерации в целом; 2 - в информационной системе одновременно обрабатываются персональные данные от 1000 до 100 000 субъектов персональных.данных или персональные данные субъектов персональных данных, работающих в отрасли экономики Российской Федерации, в органе государственной власти, проживающих в пределах муниципального образования; 3 - в информационной системе одновременно обрабатываются данные менее чем 1000 субъектов персональных данных или персональные данные субъектов персональных данных в пределах конкретной организации.

15 Характеристики безопасности ОСНОВНЫЕ: КОНФИДЕНЦИАЛЬНОСТЬ ЦЕЛОСТНОСТЬ

Характеристики безопасности ОСНОВНЫЕ: КОНФИДЕНЦИАЛЬНОСТЬ ЦЕЛОСТНОСТЬ

ДОСТУПНОСТЬ ДОПОЛНИТЕЛЬНЫЕ: НЕОТКАЗУЕМОСТЬ УЧЕТНОСТЬ (ПОДКОНТРОЛЬНОСТЬ) АУТЕНТИЧНОСТЬ (ДОСТОВЕРНОСТЬ) АДЕКВАТНОСТЬ

16 Структура системы автономные (не подключенные к иным информационным

Структура системы автономные (не подключенные к иным информационным

системам) комплексы технических и программных средств, предназначенные для обработки персональных данных (автоматизированные рабочие места); на комплексы автоматизированных рабочих мест, объединенных в единую информационную систему средствами связи без использования технологии удаленного доступа (локальные информационные системы); на комплексы автоматизированных рабочих мест и (или) локальных информационных систем, объединенных в единую информационную систему средствами связи с использованием технологии удаленного доступа (распределенные информационные системы).

17 Режим обработки ОДНОПОЛЬЗОВАТЕЛЬСКИЙ МНОГОПОЛЬЗОВАТЕЛЬСКИЙ

Режим обработки ОДНОПОЛЬЗОВАТЕЛЬСКИЙ МНОГОПОЛЬЗОВАТЕЛЬСКИЙ

18 Режим разграничения прав доступа БЕЗ РАЗГРАНИЧЕНИЯ ПРАВ ДОСТУПА С

Режим разграничения прав доступа БЕЗ РАЗГРАНИЧЕНИЯ ПРАВ ДОСТУПА С

РАЗГРАНИЧЕНИЕМ ПРАВ ДОСТУПА

19 Классификация типовой системы класс 1 (К1) - информационные системы,

Классификация типовой системы класс 1 (К1) - информационные системы,

для которых нарушение заданной характеристики безопасности персональных данных, обрабатываемых в них, может привести к значительным негативным последствиям для субъектов персональных данных; класс 2 (К2) - информационные системы, для которых нарушение заданной характеристики безопасности персональных данных, обрабатываемых в них, может привести к негативным последствиям для субъектов персональных данных; класс 3 (К3) - информационные системы, для которых нарушение заданной характеристики безопасности персональных данных, обрабатываемых в них, может привести к незначительным негативным последствиям для субъектов персональных данных; класс 4 (К4) - информационные системы, для которых нарушение заданной характеристики безопасности персональных данных, обрабатываемых в них, не приводит к негативным последствиям для субъектов персональных данных.

20 Таблица классификации

Таблица классификации

21 Типовая информационная система Информационные системы, требующие

Типовая информационная система Информационные системы, требующие

только конфиденциальности ПДн. Специальная система Помимо конфиденциальности: 2. Информационные системы, в которых обрабатываются персональные данные, касающиеся состояния здоровья субъектов персональных данных; 3. Информационные системы, в которых, на основании исключительно автоматизированной обработки персональных данных, предусмотрено принятие решений, порождающих юридические последствия в отношении субъекта персональных данных или иным образом затрагивающих его права и законные интересы.

22 Система моделей угроз

Система моделей угроз

Базовая модель угроз

Типовая отраслевая модель угроз

Частная/детализированная модель угроз ИСПДн

23 Оценка актуальных угроз оценка уровня исходной защищенности Y1(0;5;10

Оценка актуальных угроз оценка уровня исходной защищенности Y1(0;5;10

Технические и эксплуатационные характеристики ИСПДн

Технические и эксплуатационные характеристики ИСПДн

Уровень защищенности

Уровень защищенности

Уровень защищенности

Высокий

Средний

Низкий

1. По территориальному размещению

2. По наличию соединения с сетями общего пользования

3. По встроенным (легальным) операциям с записями баз персональных данных

4. По разграничению доступа к персональным данным

5. По наличию соединения с другими базами ПДн иных ИСПДн

6. По уровню обобщения (обезличивания) ПДн

7. По объему ПДн, которые предоставляются сторонним пользователям ИСПДн без предварительной обработки

24 Оценка актуальных угроз экспертное оценивание вероятности реализации

Оценка актуальных угроз экспертное оценивание вероятности реализации

угрозы Y2 (0;2;5;10;) МАЛОВЕРОЯТНО НИЗКАЯ ВЕРОЯТНОСТЬ СРЕДНЯЯ ВЕРОЯТНОСТЬ ВЫСОКАЯ ВЕРОЯТНОСТЬ

25 Оценка актуальных угроз оценка реализуемости угрозы Y Y = ( Y1+Y2 )/20

Оценка актуальных угроз оценка реализуемости угрозы Y Y = ( Y1+Y2 )/20

0<Y<0,3 НИЗКАЯ 0,3 <Y< 0,6 СРЕДНЯЯ 0,6<Y<0,8 ВЫСОКАЯ Y>0,8 ОЧЕНЬ ВЫСОКАЯ

26 Оценка актуальных угроз экспертное оценивание опасности угрозы НИЗКАЯ

Оценка актуальных угроз экспертное оценивание опасности угрозы НИЗКАЯ

ОПАСНОСТЬ СРЕДНЯЯ ОПАСНОСТЬ ВЫСОКАЯ ОПАСНОСТЬ

27 Оценка актуальных угроз оценка актуальности угрозы

Оценка актуальных угроз оценка актуальности угрозы

Возможность реализации угрозы

Возможность реализации угрозы

Показатель опасности угрозы

Показатель опасности угрозы

Показатель опасности угрозы

Низкий

Средний

Высокий

Низкая

Неактуально

Неактуально

Актуально

Средняя

Неактуально

Актуально

Актуально

Высокая

Актуально

Актуально

Актуально

Очень высокая

Актуально

Актуально

Актуально

28 Организационно-нормативные документы Базовый комплект включает:

Организационно-нормативные документы Базовый комплект включает:

Положение по организации и проведению работ по обеспечению безопасности; Требования по обеспечению безопасности ПДн при их обработке; Должностные инструкции персоналу; Инструкции по использованию программно-аппаратных средств защиты; Уведомление об обработке ПДн; Положение о ПДн; Технологический регламент обработки ПДн; Акт классификации информационной системы ПДн; Технический паспорт на информационную систему ПДн;

29 Система защиты ИСПДн

Система защиты ИСПДн

Интернет

Используемые в информационной системе информационные технологии .

Средства предотвращения утечки информации по техническим каналам

Средства предотвращения несанкционированного доступа к информации: 1. Защищенные ОС: Red Hat Enterprise Linux, QNX, МСВС 3.0. 2. Блокхост-сеть, Аккорд-Рубеж, Аккорд-NT/2000, Secret Net 5.0, Соболь, Dallas Lock 7.0, Лабиринт-М, Страж NT

Средства предотвращения программно- технических воздействий на технические средства обработки персональных данных Антивирусные средства: DrWed, Антивирус Касперского… 2. Программное обеспечение, сертифицированное на отсутствие НДВ. 3. Системы обнаружения вторжений и компьютерных атак: ФОРПОСТ, Proventia Network…

Шифровальные (криптографические) средства защиты информации

Средства защиты информации, представленной в виде информативных электрических сигналов, физических полей: Гном-3, ГШ-1000, ГШ-1000К, ГШ-2500, Октава-РС1, Гром-ЗИ-4Б МП-2, МП-3, МП-5, ЛФС-10-1Ф…

Средства защиты речевой информации: Барон, ЛГШ-402(403), SEL SP-21B1 Баррикада, Шорох-2, Соната-АВ, Шторм-105…

Межсетевые экраны Шлюзы безопасности: Cisco, Z-2, WatchGuard Firebox… CSP VPN Gate, CSP RVPN…

Средства защиты носителей информации на бумажной, магнитной, магнитоопрической и иной основе: eToken PRO 64K и eToken NG-OTP, Secret Disk 4…

30 Персональные данные в ТГТУ

Персональные данные в ТГТУ

Сотрудники

Студенты

Управление кадров

Приемная комиссия

Деканаты

Финансово-экономическое управление

Кафедры

Бухгалтерия

31 Категория ПД в ТГТУ

Категория ПД в ТГТУ

категория 1. ПД, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных и философских убеждений, состояния здоровья, интимной жизни

Необходимо шифрование данных на всех этапах хранения и обработки

категория 2. ПД, позволяющие идентифицировать субъекта ПД и получить о нем дополнительную информацию, за исключением ПД, относящихся к категории 1

Шифрование данных не требуется. Соответствует ПД в ТГТУ

категория 3. ПД, позволяющие идентифицировать субъекта ПД

32 Классы информационных систем (ИС)

Классы информационных систем (ИС)

Тгту

класс 1. ИС, для которых нарушения могут привести к значительным негативным последствиям для субъектов ПД

класс 2. ИС, для которых нарушения могут привести к негативным последствиям для субъектов ПД

Обязательна сертификация информационной системы

класс 3. ИС, для которых нарушения могут привести к незначительным негативным последствиям для субъектов ПД

класс 4. ИС, для которых нарушения не приводят к негативным последствиям для субъектов ПД

33 Принимаемые меры защиты

Принимаемые меры защиты

От несанкционированного доступа

Физическая защита внутренней сети административного корпуса

РАЗГРАНИЧЕНИЕ Доступа к ПДн

Шифрование данных при передаче по сети в органы ФНС и ПФР

От искажений и потерь

Периодическое резервное копирование

Использование средств ЭЦП при передаче по сети в органы ФНС и ПФР

34 Спасибо за внимание

Спасибо за внимание

«По типовым средства автоматизированных информационных систем»
http://900igr.net/prezentacija/informatika/po-tipovym-sredstva-avtomatizirovannykh-informatsionnykh-sistem-236036.html
cсылка на страницу
Урок

Информатика

130 тем
Слайды
900igr.net > Презентации по информатике > Информационные системы > По типовым средства автоматизированных информационных систем