Методы и средства защиты информации в сетях
Дипломная работа - Компьютеры, программирование
Другие дипломы по предмету Компьютеры, программирование
?оведения классификации ИСПД;
Специальные требования и рекомендации по технической защите конфиденциальной информации;
Положение о разработке, реализации и эксплуатации шифровальных (криптографических) средств защиты информации;
Положение о методах и способах защиты информации в информационных системах персональных данных;
Методические рекомендации ФСБ России по защите ИСПД.
Нормативные акты органов исполнительной власти по защите персональных данных всем известны и приведены для обеспечения стройности работы. Подробно на них останавливаться не буду, не смотря на то, что именно они в преломлении через призму особенностей работы ПФР нашли своё отражение в его нормативных актах по защите информации, и в первую очередь персональных данных.
Нормативные акты ПФР:
Концепция безопасности информации автоматизированной информационной системы ПФР;
Инструкция по организации защиты информации автоматизированной информационной системы ПФР;
Инструкция по организации криптографической защиты информации в Пенсионном фонде Российской Федерации;
Модель угроз безопасности персональных данных при их обработке в информационной системе ПФР;
Акт классификации информационной системы персональных данных ПФР;
Положение о порядке работы с документированной информацией конфиденциального характера в системе ПФР;
Перечень сведений ограниченного доступа, не составляющих государственной тайны;
Порядок формирования списков лиц, допущенных к сведениям о плательщиках страховых взносов и к персональным данным.
К представленному перечню нормативных актов можно добавить, разрабатываемые в каждом органе ПФР Положения по защите персональных данных работников ПФР.
Начну рассказ о разработанных в ПФР документах не с начала списка, а с конца.
Название последнего документа (Порядок формирования списков) говорит само за себя. Он определяет - каким образом руководители территориальных органов ПФР действуют при реализации делегированного им Председателем ПФР права на формирование соответствующих списков. В первую очередь списка лиц, на основании которого в соответствии с требованиями Положения об обеспечении безопасности персональных данных при их обработке в ИСПД (постановление Правительства Российской Федерации от 17 ноября 2007 года № 781) , производится допуск к работе с персональными данными.
Перечень сведений ограниченного доступа, не составляющих государственной тайны, именно таковым и является. В нем на полутора страницах в форме таблицы перечислены сведения, не относящиеся к ведомству Первого отдела, доступ к которым в ПФР ограничен.
Положение о порядке работы с документированной информацией конфиденциального характера в системе ПФР определяет особенности документационного обеспечения деятельности ПФР с использование сведений ограниченного доступа.
Пять верхних документов являются квинтэссенцией всего опыта защиты информации в ПФР в предшествующие 20 лет.
На основании Модели угроз в соответствии с требованиями Порядка проведения классификации ИСПД (приказ ФСТЭК, ФСБ и Мининформсвязи от 13 февраля 2008 года № 55/86/20) выполнена классификация информационной системы персональных данных ПФР.
Актом для районных сегментов АИС ПФР определён класс 3 (К3), для сегментов регионального и федерального уровня - класс 2 и, для всей системы соответственно - также класс 2.
В соответствии с требованиями руководящих документов ФСТЭК и ФСБ тремя верхними документами данного списка определены задачи, направления, методы и способы обеспечения безопасности данных.
Концепция БИ АИС ПФР утверждена постановлением Правления ПФР от 26 июля 2008 года № 1п ДСП.
Концепция определяет:
цель и стратегию достижения требуемого уровня безопасности информации АИС ПФР;
основные направления достижения безопасности информации;
принципы реализации и функционирования системы защиты информации;
объекты защиты;
меры по обеспечению безопасности информации.
Инструкция по организации ЗИ утверждена постановлением Правления ПФР от 26 июля 2008 года № 1п ДСП.
Инструкция определяет:
цели и задачи, объекты, мероприятия и методы защиты информации;
порядок руководства защитой и органы защиты информации;
задачи подразделений ИД ПФР и отделений ПФР, обязанности должностных лиц по организации защиты информации;
основные обязанности пользователя;
классификацию ресурсов и особенности их защиты;
задачи и мероприятия и средства защиты от НСД;
организацию защиты от вредоносных программ;
порядок авторизации пользователей;
порядок применения машинных носителей информации;
порядок копирования информационных ресурсов;
требования к прикладным программным продуктам;
формы документов.
Инструкция по организации криптозащиты в ПФР утверждена постановлением Правления ПФР от 16 октября 2008 года № 2п ДСП.
Определяет:
организацию и обеспечение безопасности обработки информации с использованием криптосредств;
порядок обращения с криптосредствами и криптоключами к ним;
мероприятия при компрометации криптоключей;
порядок обеспечения безопасности информации с использованием криптосредств при взаимодействии со сторонними организациями и передаче по каналам связи;
размещение, оборудование, охрана и организация режима специальных помещений;
формы документов.
Модель угроз безопасности ПДн при их обрабо