Политика информационной безопасности персональных данных в организации. (Лекция 9)

Содержание

Слайд 2

Лекция № 9
ПОЛИТИКА ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
ПЕРСОНАЛЬНЫХ ДАННЫХ В ОРГАНИЗАЦИИ

Лекция № 9 ПОЛИТИКА ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ В ОРГАНИЗАЦИИ

Слайд 3


Лекция № 9 ПОЛИТИКА ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
ПЕРСОНАЛЬНЫХ ДАННЫХ В ОРГАНИЗАЦИИ
ВОПРОС 1.

Лекция № 9 ПОЛИТИКА ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ В ОРГАНИЗАЦИИ ВОПРОС 1.
Определение политики информационной безопасности персональных данных в организации

Слайд 4


ВОПРОС 1.
Определение политики информационной безопасности персональных данных в организации

ПОЛИТИКА

ВОПРОС 1. Определение политики информационной безопасности персональных данных в организации ПОЛИТИКА БЕЗОПАСНОСТИ
БЕЗОПАСНОСТИ ОРГАНИЗАЦИИ — формальное изложение правил поведения, процедур, практических приемов или руководящих принципов в области информационной безопасности, которыми руководствуется организация в своей деятельности.
ПРИМЕЧАНИЕ :
Политики должны содержать:
- предмет, основные цели и задачи политики безопасности;
- условия применения политики безопасности и возможные ограничения;
- описание позиции руководства организации в отношении выполнения политики безопасности и организации режима информационной безопасности организации в целом;
права и обязанности, а также степень ответственности сотрудников за выполнение политики безопасности организации;
порядок действия а чрезвычайных ситуациях а случае нарушения политики безопасности.
Национальный стандарт Российской Федерации ГОСТ Р 53114-2008
Защита информации.
Обеспечение информационной безопасности в организации.
Основные термины и определения

Слайд 5


ВОПРОС 1.
Определение политики информационной безопасности персональных данных в организации

ЦЕЛЬ

ВОПРОС 1. Определение политики информационной безопасности персональных данных в организации ЦЕЛЬ ИНФОРМАЦИОННОЙ
ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ (ОРГАНИЗАЦИИ) - заранее намеченный результат обеспечения информационной безопасности организации в соответствии с установленными требованиями в политике ИБ (организации). ПРИМЕЧАНИЕ:
Результатом обеспечения ИБ может быть предотвращение ущерба обладателю информации из-за возможной утечки информации и (или) несанкционированного и непреднамеренного воздействия на информацию.
Национальный стандарт Российской Федерации ГОСТ Р 53114-2008
Защита информации.
Обеспечение информационной безопасности в организации.
Основные термины и определения

Слайд 6

Среднестатистический проект по защите персональных данных организации длится 4-6 месяцев.
В условиях жесткой

Среднестатистический проект по защите персональных данных организации длится 4-6 месяцев. В условиях
экономии времени, особенную актуальность приобретает вопрос комплексного подхода к разработке проекта по защите ПДн «под ключ», разработки правил поведения, процедур, практических приемов или руководящих принципов в области информационной безопасности, которыми будет руководствоваться организация в своей деятельности при защите ПДн.
Такой своеобразный набор услуг по защите ПДн разрабатывается на основании четкого понимания значимости его составляющих, их необходимости и срочности.

ВОПРОС 1.
Определение политики информационной безопасности персональных данных в организации

Слайд 7

В классическом своем варианте данный классический набор услуг может быть представлен

В классическом своем варианте данный классический набор услуг может быть представлен в
в виде следующих 5 позиций, которые представляют собой основные этапы проекта по защите ПДн.

ВОПРОС 1.
Определение политики информационной безопасности персональных данных в организации

Слайд 8


ВОПРОС 1.
Определение политики информационной безопасности персональных данных в организации

ВОПРОС 1. Определение политики информационной безопасности персональных данных в организации

Слайд 9

ВОПРОС 1.
Определение политики информационной безопасности персональных данных в организации

ВОПРОС 1. Определение политики информационной безопасности персональных данных в организации

Слайд 10

ВОПРОС 1.
Определение политики информационной безопасности персональных данных в организации

ВОПРОС 1. Определение политики информационной безопасности персональных данных в организации

Слайд 11

ВОПРОС 1.
Определение политики информационной безопасности персональных данных в организации

ВОПРОС 1. Определение политики информационной безопасности персональных данных в организации

Слайд 12

ВОПРОС 1.
Определение политики информационной безопасности персональных данных в организации

ВОПРОС 1. Определение политики информационной безопасности персональных данных в организации

Слайд 13

ВОПРОС 1.
Определение политики информационной безопасности персональных данных в организации

ВОПРОС 1. Определение политики информационной безопасности персональных данных в организации

Слайд 14

ВОПРОС 1.
Определение политики информационной безопасности персональных данных в организации

ВОПРОС 1. Определение политики информационной безопасности персональных данных в организации

Слайд 15


Лекция № 9 ПОЛИТИКА ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
ПЕРСОНАЛЬНЫХ ДАННЫХ В ОРГАНИЗАЦИИ
ВОПРОС 2.

Лекция № 9 ПОЛИТИКА ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ В ОРГАНИЗАЦИИ ВОПРОС 2.
Принципы политики безопасности персональных данных

Слайд 16


ВОПРОС 2.
Принципы политики безопасности персональных данных

Обработка персональных данных должна осуществляться

ВОПРОС 2. Принципы политики безопасности персональных данных Обработка персональных данных должна осуществляться
на основе принципов:
1) законности целей и способов обработки персональных данных и добросовестности;
2) соответствия целей обработки персональных данных целям, заранее определенным и заявленным при сборе персональных данных, а также полномочиям оператора;
3) соответствия объема и характера обрабатываемых персональных данных, способов обработки персональных данных целям обработки персональных данных;
4) достоверности персональных данных, их достаточности для целей обработки, недопустимости обработки персональных данных, избыточных по отношению к целям, заявленным при сборе персональных данных;
5) недопустимости объединения созданных для несовместимых между собой целей баз данных информационных систем персональных данных.
Федеральный закон от 27 июля 2006 г. №152-ФЗ "О персональных данных"

Слайд 17


ВОПРОС 2.
Принципы политики безопасности персональных данных

ПРИНЦИПЫ БЕЗОПАСНОСТИ .
Для создания

ВОПРОС 2. Принципы политики безопасности персональных данных ПРИНЦИПЫ БЕЗОПАСНОСТИ . Для создания
эффективной программы безопасности информационных и телекоммуникационных технологий фундаментальными являются следующие высокоуровневые принципы безопасности:
менеджмент риска
обязательства
служебные обязанности и ответственность
цели, стратегии и политика
управление жизненным циклом
Национальный стандарт РФ ГОСТ Р ИСО/МЭК 13335-1-2006 Информационная технология.
Методы и средства обеспечения безопасности.
Часть 1.
Концепция и модели менеджмента безопасности информационных и телекоммуникационных технологий

Слайд 18


ВОПРОС 2.
Принципы политики безопасности персональных данных

ПРИНЦИПЫ БЕЗОПАСНОСТИ .
1. МЕНЕДЖМЕНТ РИСКА—

ВОПРОС 2. Принципы политики безопасности персональных данных ПРИНЦИПЫ БЕЗОПАСНОСТИ . 1. МЕНЕДЖМЕНТ
скоординированные действия по руководству и управлению организацией в отношении риска (ГОСТ Р 51897-2002, ст.3.1.7).
ПРИМЕЧАНИЕ:
Обычно менеджмент риска включает в себя
— оценку риска,
— обработку риска,
— принятие риска и
— коммуникацию риска.
Государственный стандарт Российской Федерации
ГОСТ Р 51897-2002.
Менеджмент риска.
Термины и определения

Слайд 19


ВОПРОС 2.
Принципы политики безопасности персональных данных

ПРИНЦИПЫ БЕЗОПАСНОСТИ
2. ОБЯЗАТЕЛЬСТВА — важны

ВОПРОС 2. Принципы политики безопасности персональных данных ПРИНЦИПЫ БЕЗОПАСНОСТИ 2. ОБЯЗАТЕЛЬСТВА —
обязательства организации в области безопасности ИТ и в управлении рисками.
Для формирования обязательств следует разъяснить персоналу преимущества от реализации безопасности ИТ.

Слайд 20


ВОПРОС 2.
Принципы политики безопасности персональных данных

ПРИНЦИПЫ БЕЗОПАСНОСТИ
3. СЛУЖЕБНЫЕ ОБЯЗАННОСТИ И

ВОПРОС 2. Принципы политики безопасности персональных данных ПРИНЦИПЫ БЕЗОПАСНОСТИ 3. СЛУЖЕБНЫЕ ОБЯЗАННОСТИ
ОТВЕТСТВЕННОСТЬ — руководство организации несет ответственность за обеспечение безопасности активов.
Служебные обязанности и ответственность, связанные с безопасностью ИТ, должны быть определены и доведены до сведения персонала.

Слайд 21


ВОПРОС 2.
Принципы политики безопасности персональных данных

ПРИНЦИПЫ БЕЗОПАСНОСТИ .
4. ЦЕЛИ, СТРАТЕГИИ

ВОПРОС 2. Принципы политики безопасности персональных данных ПРИНЦИПЫ БЕЗОПАСНОСТИ . 4. ЦЕЛИ,
И ПОЛИТИКА — управление рисками, связанными с безопасностью ИТ, должно осуществляться с учетом целей, стратегий и Политики организации.

Слайд 22


ВОПРОС 2.
Принципы политики безопасности персональных данных

ПРИНЦИПЫ БЕЗОПАСНОСТИ
5. УПРАВЛЕНИЕ ЖИЗНЕННЫМ

ВОПРОС 2. Принципы политики безопасности персональных данных ПРИНЦИПЫ БЕЗОПАСНОСТИ 5. УПРАВЛЕНИЕ ЖИЗНЕННЫМ
ЦИКЛОМ —
управление безопасностью ИТ должно быть непрерывным в течение всего их жизненного цикла.

Слайд 23


ВОПРОС 2.
Принципы политики безопасности персональных данных

ПРИНЦИПЫ БЕЗОПАСНОСТИ
ЖИЗНЕННЫЙ ЦИКЛ АВТОМАТИЗИРОВАННОЙ

ВОПРОС 2. Принципы политики безопасности персональных данных ПРИНЦИПЫ БЕЗОПАСНОСТИ ЖИЗНЕННЫЙ ЦИКЛ АВТОМАТИЗИРОВАННОЙ
СИСТЕМЫ —
совокупность взаимосвязанных процессов создания и
последовательного изменения состояния АС от
формирования исходных требований к ней до окончания
эксплуатации и утилизации комплекса средств автоматизации АС.
Межгосударственный стандарт ГОСТ 34.003-90.
Информационная технология.
Комплекс стандартов на автоматизированные системы.
Автоматизированные системы.
Термины и определения.

Слайд 24


Лекция № 9 ПОЛИТИКА ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
ПЕРСОНАЛЬНЫХ ДАННЫХ В ОРГАНИЗАЦИИ
ВОПРОС 3.

Лекция № 9 ПОЛИТИКА ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ В ОРГАНИЗАЦИИ ВОПРОС 3.
Практические аспекты выполнения законодательных требований при обработке персональных данных

Слайд 26

СОДЕРЖАНИЕ ПИБ
1. Область применения
2. Нормативные ссылки
3. Термины и определения
4.

СОДЕРЖАНИЕ ПИБ 1. Область применения 2. Нормативные ссылки 3. Термины и определения
Общие положения
5. Объекты защиты и субъекты информационных отношений
6. Исходная концептуальная схема обеспечения информационной безопасности
7. Основные принципы обеспечения информационной безопасности
8. Общие (основные) требования по обеспечению информационной безопасности
9. Система менеджмента информационной безопасности
10. Проверка и оценка информационной безопасности
11. Модель зрелости процессов менеджмента информационной безопасности
12. Правовые основы системы менеджмента информационной безопасности
13. Меры ответственности

Слайд 27

12. Правовые основы системы менеджмента информационной безопасности
12.1 Общие положения
12.2. Организация правовых

12. Правовые основы системы менеджмента информационной безопасности 12.1 Общие положения 12.2. Организация
процедур по защите информации, составляющей коммерческую тайну (сведений, являющихся секретом производства)
12.3. Организация правовых процедур по защите персональных данных
12.4. Организация правовых процедур по защите банковской тайны
12.5. Организация правовых процедур при лицензировании деятельности по защите информации и сертификации продукции (услуг).

СОДЕРЖАНИЕ ПИБ

Слайд 28

1. Корректировка Перечня сведений конфиденциального характера, подлежащих защите в банке, в части

1. Корректировка Перечня сведений конфиденциального характера, подлежащих защите в банке, в части
определения ПД.

Основные мероприятия Плана по реализации требований Федерального закона «О персональных данных» № 152-ФЗ в банке

2. Разработка Списка документов и форм, содержащих обрабатываемые ПД и порядка его ведения.

5. Ревизия типовых договоров, анкет и других применяемых типовых форм.

6. Формирование Модели угроз безопасности персональных данных и Модели нарушителя.

7. Классификация ИСПД банка.

9. Доработка ИСПД банка в соответствии с требованиями законодательства РФ по обработке ПД (по отдельному плану).

8. Обучение персонала.

3. Разработка формы Согласия субъекта ПД – клиента банка.

4. Приведение в соответствие законодательным требованиям документационного обеспечения процессов обработки ПД в ИСПД банка.

10. Аттестация ИСПД (объектов информатизации) банка.

Слайд 29

Перечень сведений, составляющих персональные данные
1. Персональные данные 1 категории (специальные ПД).
1.1. Сведения

Перечень сведений, составляющих персональные данные 1. Персональные данные 1 категории (специальные ПД).
о состоянии здоровья и интимной жизни, о расовой и национальной принадлежности, политических взглядах, религиозных или философских убеждениях (данные справок и медицинских заключений о состоянии здоровья, данные диспансеризации, данные листов о временной нетрудоспособности в части диагнозов заболеваний, признаки причастности клиентов к террористам или экстремистам, к влиятельным политическим лицам).
2. Персональные данные 2 категории (биометрические ПД).
Персональные данные, позволяющие идентифицировать субъекта персональных данных и получить о нем дополнительную информацию, за исключением персональных данных, относящихся к категории 1:
2.1. Сведения о биометрических персональных данных, характеризующих физиологические особенности человека, за исключением персональных данных, относящихся к 1 категории (видеозаписи систем охранного телевидения, банковских терминальных устройств, ксерокопии с документов, удостоверяющих личность и имеющих фотографию владельца, фотографии сотрудников и клиентов Банка, данные в устройствах, использующих для идентификации биометрические данные человека).
3. Персональные данные 3 категории (общие ПД).
Персональные данные, позволяющие идентифицировать субъекта персональных данных:
3.1. Фамилия, имя, отчество, год, месяц, дата и место рождения, паспортные данные (номер, серия, данные о выдаче), сведения о месте и дате регистрации (месте жительства).
3.2. Сведения о номере и серии страхового свидетельства государственного пенсионного страхования.
3.3. Сведения из страховых полисов обязательного (добровольного) медицинского страхования (в т.ч. данные соответствующих карточек медицинского страхования).
3.4. Сведения о воинском учете военнообязанных лиц и лиц, подлежащих призыву на военную службу.
……………………………………

Слайд 30

Перечень сведений, составляющих персональные данные
(продолжение)

4. Персональные данные 4 категории (общедоступные ПД).
Обезличенные и

Перечень сведений, составляющих персональные данные (продолжение) 4. Персональные данные 4 категории (общедоступные
(или) общедоступные персональные данные:
4.1. Сведения о семейном положении (состояние в браке, наличие брачного контракта, дата регистрации, фамилия, имя и отчество супруга (и) и его (ее) социальный статус, наличие детей и их возраст, семейные доходы и расходы, долги и другие сведения).
4.2. Данные о трудовой деятельности (данные о трудовой занятости на текущее время, стаж работы, наличие трудового договора, организации, занимаемые в них должности и время работы в этих организациях, а также другие сведения).
4.3. Сведения об образовании, квалификации, о наличии специальных знаний или специальной подготовки (образовательная категория, ученая степень, образовательное учреждение, дата начала и завершения обучения, квалификация и специальность по окончании учебного заведения и другие сведения).
4.4. Сведения об имуществе (имущественное положение):
- автотранспорт (вид владения, марка, модель, производство, год выпуска, способ получения и другие сведения, кроме указанных в соответствующем пункте раздела 3);
- недвижимое имущество (вид, тип, способ получения, общие характеристики, стоимость и другие сведения);
……………………………………………………….

Слайд 31

Система аудита и аттестации Банка «Возрождение» (ОАО)

Система аудита и аттестации Банка «Возрождение» (ОАО)

Слайд 32

Основные цели аудита информационной безопасности

Повышение доверия к Банку как элементу банковской системы

Основные цели аудита информационной безопасности Повышение доверия к Банку как элементу банковской
РФ.
Локализация уязвимых мест в системе защиты информации.
Анализ рисков и оценка возможного ущерба от реализации угроз безопасности информации.
Оценка соответствия состояния защищенности ресурсов Банка нормативным документам в области ИБ.
Аттестация объектов информатизации (автоматизированных систем и защищаемых помещений).
Определение зон ответственности и стимулирование сотрудников Банка к повышению уровня ИБ.
Разработка требований и рекомендаций по внедрению новых и повышению эффективности существующих механизмов ИБ.
Определение потребностей в ресурсах и обоснованное управление инвестициями в ИБ на основе анализа данных аудита

Слайд 33

Начальник Службы информационной безопасности:

Организует аудит центрального аппарата и филиалов Банка.
Обеспечивает подготовку и

Начальник Службы информационной безопасности: Организует аудит центрального аппарата и филиалов Банка. Обеспечивает
внедрение программы (программ), плана (планов) аудита, методик проверки и других документов.
Организует аттестацию объектов информатизации Банка.
Организует координацию работы и взаимодействие с государственными структурами (ФСБ, ФСТЭК, Банком России и др.).
Обеспечивает совершенствование уровня профессиональной подготовки сотрудников Службы и материально-технической базы аудита.
Контролирует работу системы аудита и аттестации.

Слайд 34

Аудиторская группа (формируется, как правило, из сотрудников отдела аудита и аттестации информационных

Аудиторская группа (формируется, как правило, из сотрудников отдела аудита и аттестации информационных
систем СИБ Банка)

Проводит аудит подразделений Банка.
Аттестует объекты информатизации.
Оформляет «Аттестаты соответствия».
Готовит отчет по результатам проведения аудита.
Разрабатывает (при необходимости) предложения по устранению (недопущению) нарушений и уязвимостей.

Слайд 35

Содержание аудита ИБ (проверяемые области)

Система менеджмента информационной безопасности.
Идентификация, аутентификация, авторизация.
Управление доступом к

Содержание аудита ИБ (проверяемые области) Система менеджмента информационной безопасности. Идентификация, аутентификация, авторизация.
активам.
Использование средств криптографической защиты информации.
ИБ процессинговой системы.
Состояние аппаратных и программных ресурсов.
Антивирусная защита.
Порядок обращения с носителями информации.
Обеспечение непрерывности бизнеса (деятельности) и его восстановление после прерываний.
Использование электронной почты и сети Интернет.
Порядок копирования информации ограниченного доступа.
Эксплуатация объектов информатизации.
Выполнение требований по ИБ к специализированным ПАК (ДБО, обмен ЭД с Банком России, электронные платежи и т.д.).
Состояние инженерно-технических систем (охранно-пожарная и тревожная сигнализация, охранное телевидение, контроль и управление доступом и т.д.).
Организация охраны, пропускного и внутриобъектового режима.
Специальная проверка защищаемых помещений.
Специальные исследования (при наличии требований по обязательному проведению).
Аттестация объектов.

Слайд 36

Документы по управлению программой аудита в Банке

Приказы, указания, распоряжения и другие руководящие

Документы по управлению программой аудита в Банке Приказы, указания, распоряжения и другие
документы по обеспечению ИБ Банка России, ФСТЭК России, ФСБ России и других ведомств.
Локальные нормативные акты Банка по обеспечению ИБ.
Программа и план аудита ИБ Банка.
Перечень сведений конфиденциального характера Банка.
Перечни объектов информатизации (АС и ЗП).
Акты классификации АС по классам защищенности.
Технические паспорта АС и ЗП.
Заявки на аттестацию объектов информатизации.
Методики проведения аудита ИБ и аттестации объектов информатизации Банка.
Технологические карты для проведения аудита.
План аудита проверяемого Подразделения.
Распоряжения (приказы) Заместителя Председателя Правления Банка, курирующего ИБ, о проведении внепланового аудита (аттестации).
Свидетельства аудита.
Протоколы аттестационных испытаний.
Справка по результатам аудита.
Аудиторские отчеты.
Отчеты об устранении нарушений и уязвимостей, выявленных в ходе аудита и аттестации.
Аттестаты соответствия АС и ЗП требованиям по ИБ.
Эксплуатационная документация на объекты информатизации и средства ЗИ и т.д.

Слайд 37

Внедренная в Банке система аудита и аттестации позволяет:

Существенно понизить операционные риски Банка.
Обеспечить

Внедренная в Банке система аудита и аттестации позволяет: Существенно понизить операционные риски
безусловное выполнение требований законодательства РФ в области защиты информации.
Обеспечить требуемый уровень защиты:
персональных данных (включая данные держателей банковских карт);
коммерческой тайны;
банковской тайны.
Проводить аудит подразделений Банка на соответствие требованиям по ИБ международных стандартов, ФСТЭК, ФСБ и Банка России.

Слайд 38

Участвовать во внедрении и вводить в эксплуатацию системы обеспечения безопасности персональных данных

Участвовать во внедрении и вводить в эксплуатацию системы обеспечения безопасности персональных данных
в соответствии с требованиями руководящих документов.
Контролировать соблюдение лицензионных требований и условий видов деятельности, на которые Банком получены лицензии ФСТЭК и ФСБ России.
Аттестовать объекты информатизации по требованиям безопасности информации ФСТЭК России.
Проводить специальные исследования СВТ и специальные проверки защищаемых помещений Банка.
Непрерывно совершенствовать систему обеспечения ИБ Банка.

Внедренная в Банке система аудита и аттестации позволяет:

Слайд 39

ВОПРОС 4. Практические примеры частных политик
информационной
безопасности

Лекция №

ВОПРОС 4. Практические примеры частных политик информационной безопасности Лекция № 9 ПОЛИТИКА
9 ПОЛИТИКА ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
ПЕРСОНАЛЬНЫХ ДАННЫХ В ОРГАНИЗАЦИИ

Слайд 40

ВОПРОС 4. Практические примеры частных политик информационной безопасности организации

ПОЛИТИКА КЛАССИФИКАЦИИ ИНФОРМАЦИИ
Назначение и

ВОПРОС 4. Практические примеры частных политик информационной безопасности организации ПОЛИТИКА КЛАССИФИКАЦИИ ИНФОРМАЦИИ
область действия
Настоящая Политика устанавливается для классификации информации в целях обеспечения адекватной защиты информационных ресурсов Организации1.
Политика распространяется на владельцев информационных ресурсов, а также на всех работников Организации и третьих лиц, использующих информационные ресурсы Организации, и являются обязательными для исполнения.
Все исключения из настоящих правил должны быть согласованы со Службой ИБ Организации.
1) ИСО/МЭК27001:2005, А.7.2.

Слайд 41

ВОПРОС 4. Практические примеры частных политик информационной безопасности организации

ПОЛИТИКА КЛАССИФИКАЦИИ ИНФОРМАЦИИ
Основные

ВОПРОС 4. Практические примеры частных политик информационной безопасности организации ПОЛИТИКА КЛАССИФИКАЦИИ ИНФОРМАЦИИ
требования
Для обеспечения адекватного потребностям уставным целям Организации уровня защиты информационных ресурсов содержащаяся в них информация классифицируется в соответствии со степенью ее важности для Организации.
Информация классифицируется по следующим категориям:
а) I категория (повышенные требования к обеспечению конфиденциальности, целостности и/или доступности);
б) II категория (минимально достаточные требования);
в) III категория (требования по защите не предъявляются).

Слайд 42

ВОПРОС 4. Практические примеры частных политик информационной безопасности организации
ПОЛИТИКА КЛАССИФИКАЦИИ ИНФОРМАЦИИ
К

ВОПРОС 4. Практические примеры частных политик информационной безопасности организации ПОЛИТИКА КЛАССИФИКАЦИИ ИНФОРМАЦИИ
информации I категории относятся: персональные данные, коммерческая тайна, а также иная информация, в отношении которой требования к обеспечению конфиденциальности, целостности и/или доступности установлены действующим законодательством, условиями соглашений с третьими сторонами или решением владельца этой информации.
К информации II категории относится внутренняя информация, являющаяся собственностью Организации, не отнесенная к I и III категориям, включая любые служебные документы.
К информации III категории относится открытая информация и информация, предназначенная для публикации.

Слайд 43

ВОПРОС 4. Практические примеры частных политик информационной безопасности организации
ПОЛИТИКА КЛАССИФИКАЦИИ ИНФОРМАЦИИ
Информационные

ВОПРОС 4. Практические примеры частных политик информационной безопасности организации ПОЛИТИКА КЛАССИФИКАЦИИ ИНФОРМАЦИИ
ресурсы, содержащие классифицированную информацию, снабжаются соответствующей маркировкой.
Конфиденциальная информация не подлежит передаче по открытым каналам передачи данных и в открытой переписке, в личных и деловых переговорах по открытым каналам связи и средствах массовой информации.
Использование персональных данных в деятельности Организации производится только с согласия их владельца. Порядок использования определяется соответствующими внутренними документами Организации.
Присвоенные информации классификационные категории подвергаются периодическому пересмотру.

Слайд 44

ВОПРОС 4. Практические примеры частных политик информационной безопасности организации
ПОЛИТИКА КЛАССИФИКАЦИИ ИНФОРМАЦИИ
Ответственность
Ответственность за

ВОПРОС 4. Практические примеры частных политик информационной безопасности организации ПОЛИТИКА КЛАССИФИКАЦИИ ИНФОРМАЦИИ
проведение классификации информации возлагается на владельцев информационных ресурсов Организации.
Ответственность за соблюдение правил возлагается на всех работников Организации и третьих лиц, использующих информационные ресурсы Организации .
Контроль выполнения и пересмотр Политики классификации информации возлагаются на Службу информационной безопасности Организации .

Слайд 45

ВОПРОС 4. Практические примеры частных политик информационной безопасности организации
ПОЛИТИКА ИНВЕНТАРИЗАЦИИ ИНФОРМАЦИОННЫХ

ВОПРОС 4. Практические примеры частных политик информационной безопасности организации ПОЛИТИКА ИНВЕНТАРИЗАЦИИ ИНФОРМАЦИОННЫХ
РЕСУРСОВ
1. Назначение и область действия
Настоящая Политика устанавливается для закрепления ответственности за информационные ресурсы, определения типов подлежащих инвентаризации ресурсов и инвентаризируемых параметров в целях обеспечения и поддержания соответствующей защиты информационных ресурсов Организации1.
Политика распространяются на руководителей структурных подразделений, а также на всех работников Организации и третьих лиц, использующих информационные ресурсы Организации, и являются обязательными для исполнения.
Все исключения из настоящей Политики должны быть согласованы со Службой ИБ Организации.
1ИСО/МЭК27001:2005, А.7.1.

Слайд 46

ВОПРОС 4. Практические примеры частных политик информационной безопасности организации
ПОЛИТИКА ИНВЕНТАРИЗАЦИИ ИНФОРМАЦИОННЫХ

ВОПРОС 4. Практические примеры частных политик информационной безопасности организации ПОЛИТИКА ИНВЕНТАРИЗАЦИИ ИНФОРМАЦИОННЫХ
РЕСУРСОВ
2. Основные требования
Все информационные ресурсы (базы данных и файлы данных, системная и эксплуатационная документация, нормативные, методические и организационно-распорядительные документы, планы и документация, архивная информация, контракты, договоры и другие документы Организации) подлежат обязательной инвентаризации с документированием результатов в соответствующем реестре.
В реестре информационных ресурсов отражаются следующие атрибуты:
а) наименование;
б) местоположение;
в) владелец информационного ресурса;
г) наивысшая категория информации, содержащейся в информационном ресурсе (категория информационного ресурса).
Актуальность реестра обеспечивается на основе непрерывного официального процесса его поддержки.

Слайд 47

ВОПРОС 4. Практические примеры частных политик информационной безопасности организации
ПОЛИТИКА ИНВЕНТАРИЗАЦИИ ИНФОРМАЦИОННЫХ

ВОПРОС 4. Практические примеры частных политик информационной безопасности организации ПОЛИТИКА ИНВЕНТАРИЗАЦИИ ИНФОРМАЦИОННЫХ
РЕСУРСОВ
Для каждого защищаемого информационного ресурса составляется Паспорт информационного ресурса, в котором перечисляются компоненты информационных систем, обеспечивающих его функционирование:
в) услуги информационно-технического обеспечения (доступ к данным, обработка и передача данных, телефонная, видео- и конференцсвязь).
В Паспорте информационного ресурса указываются:
а) закрепление ролей ИБ;
б) данные, подлежащие резервному копированию;
в) способ и регулярность резервного копирования;
г) целевая точка восстановления и целевое время восстановления.

Слайд 48

ВОПРОС 4. Практические примеры частных политик информационной безопасности организации
ПОЛИТИКА ИНВЕНТАРИЗАЦИИ ИНФОРМАЦИОННЫХ

ВОПРОС 4. Практические примеры частных политик информационной безопасности организации ПОЛИТИКА ИНВЕНТАРИЗАЦИИ ИНФОРМАЦИОННЫХ
РЕСУРСОВ
Ответственность
Ответственность за проведение инвентаризации информационных ресурсов возлагается на руководителей структурных подразделений Организации.
Ответственность за соблюдение правил возлагается на всех работников Организации и третьих лиц, использующих информационные ресурсы Организации.
Контроль выполнения и пересмотр правил возлагаются на Службу ИБ Организации.

Слайд 49

ВОПРОС 4. Практические примеры частных политик информационной безопасности организации
ПОЛИТИКА УПРАВЛЕНИЯ РИСКАМИ

ВОПРОС 4. Практические примеры частных политик информационной безопасности организации ПОЛИТИКА УПРАВЛЕНИЯ РИСКАМИ
ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
Назначение и область действия
Настоящая Политика устанавливается для организации процесса управления рисками ИБ в целях реализации системы управления ИБ, соответствующей требованиям стандарта ИСО/МЭК 27001:2005, противодействия прерываниям деятельности Организации и защиты критичных процессов от сбоев информационных систем или природных бедствий.
Политика распространяются на всех работников Организации, принимающих участие в информационном обеспечении и документационном сопровождении процесса управления рисками, а также в его реализации, и является обязательной для исполнения.
Все исключения из настоящих правил должны быть согласованы с Координационным советом по ИБ Организации.
ИСО/МЭК 27001:2005, 4.2.1.
ИСО/МЭК 27001:2005, А.14.1.

Слайд 50

ВОПРОС 4. Практические примеры частных политик информационной безопасности организации

ПОЛИТИКА УПРАВЛЕНИЯ РИСКАМИ

ВОПРОС 4. Практические примеры частных политик информационной безопасности организации ПОЛИТИКА УПРАВЛЕНИЯ РИСКАМИ
ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
2 Основные требования
Методология оценки рисков должна быть определена и документально оформлена.
Должны быть определены критерии принятия рисков и установлен приемлемый уровень риска.
Должны быть идентифицированы все информационные ресурсы, подлежащие защите.
Идентификация ресурсов и назначение их владельцев производится согласно Политике инвентаризации информационных ресурсов (А.2) в соответствии с установленными процедурами.
Должны быть определены угрозы в отношении защищаемых информационных ресурсов и их уязвимости, а также возможные воздействия, которые могут привести к нарушению конфиденциальности, целостности и доступности защищаемых информационных ресурсов.

Слайд 51

ВОПРОС 4. Практические примеры частных политик информационной безопасности организации

ПОЛИТИКА УПРАВЛЕНИЯ РИСКАМИ

ВОПРОС 4. Практические примеры частных политик информационной безопасности организации ПОЛИТИКА УПРАВЛЕНИЯ РИСКАМИ
ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
Анализ и оценка рисков должны включать оценку возможного ущерба, который может быть нанесен в результате нарушения ИБ, оценку вероятности такого нарушения с учетом применяемых мер защиты, определение уровня рисков.
На этапе анализа и оценки рисков должны быть учтены, в частности, риски, являющиеся следствием участия в уставных целях Организации внешних сторон3, а также возникающие при использовании оборудования вне территории Организации4.
При анализе и оценке рисков следует учитывать результаты аудита ИБ и данные мониторинга событий ИБ.
3ИСО/МЭК 27001:2005, А.6.2.1.
4ИСО/МЭК 27001:2005, А.9.2.5.

Слайд 52

ВОПРОС 4. Практические примеры частных политик информационной безопасности организации

ПОЛИТИКА УПРАВЛЕНИЯ РИСКАМИ

ВОПРОС 4. Практические примеры частных политик информационной безопасности организации ПОЛИТИКА УПРАВЛЕНИЯ РИСКАМИ
ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
При анализе и оценке рисков следует учитывать результаты аудита ИБ и данные мониторинга событий ИБ.
Для рисков, уровни которых не являются приемлемыми, должны быть выбраны варианты их обработки (снижение, избежание, перенос на сторонние организации) и определены необходимые меры по корректировке.
Меры корректировки рисков ИБ должны быть изложены в Программе управления рисками ИБ, которая рассматривается и утверждается Генеральным директором Организации.
Имя файла: Политика-информационной-безопасности-персональных-данных-в-организации.-(Лекция-9).pptx
Количество просмотров: 95
Количество скачиваний: 0
- Предыдущая
Найдите все значения параметра a,
Следующая -
Продольный разрез турбогенератора

Похожие презентации

Программирование на языке Java. Форматный вывод
Персональный сайт учителя как средство повышения профессиональной компетенции учителя на примере предмета окружающий мир
Как улучшить свой ПК
Единый региональный информационный просветительский проект
10u-2b_СистемыСчисления
Шилкина Н.Н., учитель начальных классов, МОУ №1
Файл и файловая система
Сайты образовательных учреждений
Freelance. Звіт з курсового проекту
Сравнительный анализ сайтов туроператоров внутреннего и международного туризма
Презентация на тему Рекомендации по проведению ГИА по информатике и ИКТ
Информация и информатика
The functioning of socio-political myths about Russia in modern media
Одномерный массив
Прогнозы технического директора Google Рэймонда Курцвейла
Роль книги и библиотеки в жизни человека
Разработка приложений на языке высокого уровня
Podstawy programowania
лаб работа 1 базы данных
NAVY - функции
Общие понятия о направлении Системный анализ и управление
XII международная конференция CEE-SECR / РАЗРАБОТКА ПО
Современные электронные СМИ
Глобальная компьютерная сеть Интернета и её ресурсы
Документ как источник информации
Разработка серверной части интернет портала Подвиг победы. Дипломная работа
Диски
Я-собеседник
LiveInternet
Обратная связь
Для правообладателей
Email: Нажмите что бы посмотреть