2 просмотров
Рейтинг статьи
1 звезда2 звезды3 звезды4 звезды5 звезд
Загрузка...

Журналы по информационной безопасности. SANS OUCH! Дополнительные преимущества выполнения организационных требований по защите информации с помощью «КИТ-Журнал»

КИТ-Журнал. Учёт криптосредств и электронных подписей

Выполняйте требования приказа ФАПСИ №152 и ПКЗ-2005 без лишних усилий.

КИТ-Журнал — система автоматизации учета и процессов информационной безопасности, которая упростит планирование и выполнение мероприятий, предусмотренных нормативными документами ФСТЭК/ФСБ России.

КИТ-Журнал

Все виды журналов

Позволит в электронной форме вести все виды журналов.

Резервное копирование

Все журналы будут защищены от потери с помощью резервного копирования.

Электронная форма хранения информации

Ведение журналов в электронной форме — это удобно! Легкий поиск и анализ информации.

Информация защищена

В платформе реализована система разграничения прав доступа.

Удобный планировщик задач

Планируйте задачи для автоматического добавления записей в журналы.

Юридическая значимость

Подписывайте журналы и документы с помощью электронной подписи, чтобы сделать их юридически значимыми.

Область применения КИТ-Журнал

Программа позволяет решить следующие задачи:

  • учет СКЗИ в электронном виде;
  • учет фактов выдачи СКЗИ пользователям, с проверкой факта допуска пользователя к работе СКЗИ;
  • сопровождение жизненного цикла ключевых документов и носителей (изготовление, запись, рассылка, передача, возврат, уничтожение);
  • контроль своевременного уничтожения ключевых документов с формированием актов;
  • формирование актов ввода СКЗИ в эксплуатацию/ вывода СКЗИ из эксплуатации;
  • контроль опломбирования технических средств, используемых совместно с СКЗИ;
  • контроль наличия хранилищ у пользователей СКЗИ;
  • ведение технического (аппаратного) журнала.

Как происходит работа в журнале?

Программа проста в использовании и интуитивно понятна даже без изучения «Руководства пользователя».

Автоматизация процесса защиты персональных данных

Автоматизация процесса защиты персональных данных ключевой процесс при организации полноценной системы работы и защиты персональных данных на предприятии.

Зачем автоматизировать процесс защиты персональных данных?

В предыдущих статьях «К НАМ ЕДЕТ РЕВИЗОР», ИЛИ ЧТО ПРОВЕРЯЕТ ФСБ ПО ПЕРСОНАЛЬНЫМ ДАННЫМ и «К НАМ ЕДЕТ РЕВИЗОР, ЧАСТЬ 2», ИЛИ ЧТО ПРОВЕРЯЕТ РОСКОМНАДЗОР ПО ПЕРСОНАЛЬНЫМ ДАННЫМ были описаны требования и предложен набор основных документов, которые проверяются на этих проверках. Все бы ничего, но только подготовка самих документов является разовым действием и, как правило, приводит к размещению получившийся папки на полке в дальнем углу шкафа у секретаря. Или в комнате системного администратора где-то между отработанным картриджем и вскрытыми коробками. Бывают случаи, когда эту папку могут положить так, что ее потом не могут найти целый год.

Скорее всего, такая защита персональных данных не будет очень уж эффективной. Поэтому, лучшим способом упорядочить процесс подготовки документов по защите персональных данных – это доверить его автоматизированной системе, которая снимет ряд рутинных операций с работников и будет гарантировать наличие, доступность и актуальность всех необходимых документов по информационной безопасности вне зависимости от любых обстоятельств.

Какие возможны решения?

На рынке существует достаточно предложений, начиная от простых «заполняторов» шаблонов документов до различного уровня сложности автоматизированных систем. Сразу оговоримся, что целью данной статьи не является анализ этих решений. Хотелось бы только отметить, что выбор надо делать, отталкиваясь, прежде всего, от ожидаемого функционала. Например, если у вас иерархически сложная структура, или есть подчиненные подведомственные учреждения, значит вам стоит обратить внимание на централизацию защиты информации и единообразного формирования документов по всем подчиненным структурам. Или, если у вас обширный парк компьютерной техники с разнообразными установленными на нем средствами защиты информации, то вам следует задуматься об автоматизации инвентаризации и учета этих рабочих станций и установленных на них СрЗИ. Если у вас много сотрудников, используются государственные информационные системы, и необходимо проводить постоянные мероприятия по обучению этих сотрудников основам информационной безопасности, тогда разумно обращать внимание на автоматизированный подход к обучению и учет проводимых инструктажей в автоматизированной системе.

Читать еще:  Переменный резистор линейный логарифмический. Регулятор громкости: схема и применение

Внимательно изучив собственные потребности в области информационной безопасности, можно переходить к выбору наиболее подходящего инструментария, помогающего удовлетворить максимум ваших потребностей.

Техническое задание

На оказание услуг по созданию системы защиты операторов информационных систем персональных данных

Информационные системы Правительства города Севастополя.

создание системы защиты информационных систем персональных данных (далее — ИСПДн) на 200 АРМ, определенных Заказчиком;

поставку необходимых средств защиты информации;

выполнение установки и настройки средств защиты информации;

разработка документов, по защите информации, обрабатываемой в ИСПДн;

проведение аттестации ИСПДн на 200 АРМ.

Перечень и характеристики поставляемых средств защиты информации приведены в Приложениях № 1 и № 2

Перечень услуг по защите ИСПДн приведен в Приложении № 3.

Сроки выполнения услуг и отчетные документы определены в Приложении № 4.

Основание проведения услуг

Основаниями оказания услуг являются:

Федеральный закон от 27.07.2006 г. №149-ФЗ «Об информации, информационных технологиях и о защите информации»;

Федеральный закон от 27.07.2006 г. № 152-ФЗ «О персональных данных»;

Постановление Правительства Российской Федерации от 01.11.2012 г. № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;

Постановление Правительства РФ от 15.09.2008 г. № 687 г. Москва «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»;

Приказ Федерального агентства правительственной связи и информации при Президенте РФ от 13.06.2001 г. № 152 «Об утверждении инструкции по организации и обеспечении безопасности хранения, обработки и передачи по каналам связи с использованием средств криптографической защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну»;

Приказ Федеральной службы по техническому и экспортному контролю России от 18.02.2013 г. № 21 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных»;

Приказ ФСБ России от 10.07.2014 г. № 378 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством РФ требований к защите персональных данных для каждого из уровней защищенности».

Назначение и цели создания системы защиты информационных систем

Назначение системы защиты

Система защиты информационных систем предназначена для обеспечения выполнения требований защиты информации.

Цели создания системы защиты информационных систем

Основными целями создания системы защиты информационных систем являются:

защита информации ограниченного доступа, не содержащей сведений, составляющих государственную тайну, обрабатываемой в информационных системах Заказчика, от неправомерного или случайного доступа к ней, уничтожения, модифицирования, блокирования, копирования, ее предоставления и распространения, а также от иных неправомерных действий в отношении такой информации за счёт комплексного использования организационных, программных, программно-аппаратных средств и мер защиты;

Читать еще:  Меняем время суток в уроке фотошопа. Меняем время суток на фото в фотошоп Как поменять время суток в фотошопе

выполнение требований законодательства по защите информации ограниченного доступа, не содержащей сведений, составляющих государственную тайну.

Требования к системе защиты объектов информатизации

Требования к структуре и функционированию системы защиты объектов информатизации

Требования к составу

Для создания системы защиты необходимо построить следующие подсистемы, используя поставляемые Исполнителем средства защиты информации в соответствии с Приложениями № 1 и № 2):

подсистема управления доступом, регистрации, учета и обеспечения целостности;

подсистема межсетевого экранирования и защиты каналов связи;

подсистема криптографической защиты информации;

и др. подсистемы, необходимые для комплексной реализации требований нормативных документов, изложенных в п.3.

Подсистема управления доступом, регистрации, учета и обеспечения целостности

Средство управления доступом пользователей обеспечивает выполнение политики управления доступом, разграничения прав доступа, парольной политики Заказчика, контроль целостности средств защиты информации на АРМах Заказчика.

В описываемую подсистему включается средство управления доступом субъектов доступа к объектам доступа.

Исполнителем осуществляется оснащение всех АРМ объектов информатизации Заказчика средствами управления доступа пользователей

Подсистема межсетевого экранирования

Обеспечение защиты АРМ от сетевых атак и попыток несанкционированного доступа при подключении к сети персональным межсетевым экраном.

Описываемая подсистема включает в себя персональный межсетевой экран.

Все АРМ объектов информатизации Заказчика оснащаются Исполнителем персональным межсетевым экраном.

Все АРМ объектов информатизации Заказчика оснащаются Исполнителем средствами управления доступа пользователей.

Предусматривается техническая поддержка сроком на один год средства защиты информации, включающая в себя:

консультации и ответы на вопросы по электронной почте;

консультации по «горячей» телефонной линии.

Требования к надёжности

Соответствие элементов системы защиты объектов информатизации условию круглосуточной работы, а также наличие возможности восстановления в случаях сбоев.

Требования к организационному обеспечению

Исполнителем разрабатываются проекты организационно-распорядительных документов, регламентирующие организационные и организационно-технические вопросы информационной безопасности в ИСПДн:

Проект документа о назначении ответственного за организацию обработки персональных данных

Проект документа, о назначении ответственного за обеспечение безопасности персональных данных в ИСПДн

Проект документа о назначении администратора информационной безопасности.

Проект документа о назначении ответственного пользователя средств криптографической защиты информации (далее — СКЗИ).

Проект документа об определении границ контролируемой зоны.

Проект документа об утверждении перечня персональных данных, обрабатываемых в ИСПДн.

Проект документа об утверждении перечня помещений, в которых осуществляется обработка персональных данных

Проект документа об утверждении перечня сотрудников, имеющих право доступа к информации, обрабатываемой в ИСПДн

Проект документа об утверждении Положения по организации и проведению работ по обеспечению безопасности персональных данных, включающее:

инструкцию администратора информационной безопасности;

инструкцию пользователя ИСПДн;

первичный инструктаж лица, допущенного к работе с персональными данными;

порядок взаимодействия по вопросам обеспечения безопасности персональных данных;

ответственность за нарушение требований законодательства;

правила внутреннего контроля соответствия обработки персональных данных в ИСПДн требованиям к защите персональных данных;

порядок приостановления предоставления персональных данных пользователям ИСПДн при обнаружении нарушений порядка предоставления персональных данных;

порядок проведения служебных проверок по фактам нарушения требований по обеспечению безопасности персональных данных;

порядок обезличивания персональных данных;

порядок уничтожения персональных данных;

порядок работы с электронными журналами ИСПДн;

инструкцию по организации мер антивирусной защиты в ИСПДн;

инструкцию по организации парольной защиты в ИСПДн;

инструкцию по порядку обращения со средствами защиты информации в ИСПДн;

инструкцию по резервированию и восстановлению информации в ИСПДн;

инструкцию по учету машинных носителей информации ИСПДн;

инструкцию по обработке персональных данных без использования средств автоматизации в ИСПДн.

Исполнителем предусматривается ведение следующих журналов в электронном виде с возможностью применения квалифицированной электронной подписи для заверения журналов:

Читать еще:  Ntfs работа с дополнительными потоками. Альтернативные потоки данных NTFS

журнал «Учет пользователей, имеющих право доступа к ИС»;

журнал «Учет выдачи паролей для доступа к ИС»;

журнал «Учет машинных носителей информации»;

журнал «Резервное копирование информационных массивов ИС»;

журнал «Поэкземплярный учет средств защиты, эксплуатационной и технической документации к ним»;

журнал «Учет периодического тестирования средств защиты информации»;

журнал «Учет антивирусных проверок ИС»;

журнал «Учет нештатных ситуаций в ИС»;

журнал «Проверки электронных журналов ИС»;

журнал «Учет проведения внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных»;

журнал «Учет пользователей средств криптографической защиты информации»;

журнал «Поэкземплярный учет средств криптографической защиты информации, эксплуатационной и технической документации к ним, ключевых документов»;

журнал «Учет хранилищ и ключей от них»;

журнал «Учет личных печатей, предназначенных для опечатывания помещений хранилищ, пеналов»;

другие документы, необходимые для комплексной реализации требований нормативных документов, изложенных в п.3.

Проект документа об организации и обеспечении с помощью СКЗИ безопасности информации при ее обработке в ИСПДн

Проект документа о правилах рассмотрения обращений, запросов субъектов персональных данных или их представителей, уполномоченного органа по защите прав субъектов персональных данных

Проект документа об утверждении перечня СКЗИ, их мест размещения и их пользователей

Инструкция ответственного за организацию обработки персональных данных

Инструкция ответственного за обеспечение безопасности персональных данных в информационных системах персональных данных

Матрица доступа пользователей к защищаемым информационным ресурсам ИСПДн.

Модель угроз ИСПДн.

Акт классификации ИСПДн по требованиям безопасности.

Акт оценки вреда субъектам персональных данных, чьи персональные данных обрабатываются в ИСПДн.

Требования по обеспечению безопасности персональных данных при их обработке в ИСПДн.

Описание технологического процесса обработки персональных данных в ИСПДн.

Технический проект системы защиты ИСПДн.

Акты установки СЗИ.

Акты установки СКЗИ.

Описание системы защиты ИС.

Технический паспорт ИСПДн.

Услуги по установке и настройке средств защиты информации.

Исполнителем оказываются услуги по установке и настройке поставляемых средств защиты информации.

Средства защиты информации настраиваются таким образом, чтобы обеспечивать выполнение всех необходимых требований федеральных законов, нормативных документов РФ, ФСТЭК России и ФСБ России к аттестации информационной системы.

Аттестация информационной системы включает проведение комплекса организационных и технических мероприятий (аттестационных испытаний), в результате которых подтверждается соответствие системы защиты информации требованиям по защите информации.

Аттестации подлежат информационные системы (объекты информатизации) определенные Заказчиком.

В качестве исходных данных, необходимых для аттестации информационной системы, используются: модель угроз безопасности информации, акты классификации информационной системы, техническое задание на создание информационной системы и (или) техническое задание (частное техническое задание) на создание системы защиты информации информационной системы, проектная и эксплуатационная документация на систему защиты информации информационной системы, организационно-распорядительные документы по защите информации, результаты анализа угроз безопасности информации информационной системы. Аттестация информационной системы проводится в соответствии с программой и методиками аттестационных испытаний.

Для проведения аттестации информационной системы применяются национальные стандарты, а также методические документы, разработанные и утвержденные ФСТЭК России в соответствии с подпунктом 4 пункта 8 Положения о Федеральной службе по техническому и экспортному контролю, утвержденного Указом Президента Российской Федерации от 16 августа 2004 г. № 1085.

В результате оказания услуг по аттестации Исполнителем разрабатываются следующие документы:

программа аттестационных испытаний на соответствие требованиям безопасности информации;

методики аттестационных испытаний на соответствие требованиям безопасности информации;

протокол аттестационных испытаний;

заключение по результатам аттестационных испытаний на соответствие требованиям безопасности информации;

аттестат соответствия требованиям безопасности информации.

к техническому заданию

Количество поставляемых средств защиты информации

Ссылка на основную публикацию
Статьи c упоминанием слов:
Adblock
detector