Документы необходимые для обеспечения работы системы межсетевого экранирования

Федеральный закон от 27 июля 2006 года № 152-ФЗ «О персональных данных». Защищенность достигается с «применением организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные Правительством Российской Федерации уровни защищенности персональных данных». Ст. 19, п. 2.

Постановление Правительства Российской Федерации от 01 ноября 2012 года № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных». Документ устанавливает требования к защите персональных данных при их обработке в информационных системах персональных данных и уровни защищенности таких данных.

Приказ ФСТЭК России от 18.02.2013 г. №21 «Состав и содержание организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных». Описания мер по защите информации, при использовании ее в информационных системах сертифицированных по требованиям безопасности информации.

Руководящий документ Решение председателя Гостехкомиссии России от 25 июля 1997 г. Настоящий руководящий документ устанавливает классификацию межсетевых экранов (МЭ) по уровню защищенности от несанкционированного доступа (НСД) к информации на базе перечня показателей защищенности и совокупности описывающих их требований.

Без каких документов невозможно установить режим коммерческой тайны

Нормативно-правовая база защиты коммерческой тайны

Защита коммерческой тайны регулируется ФЗ № 98 «О коммерческой тайне», который регулирует правила установления режима КТ и методическую часть организации защиты КТ на предприятии. В регулирующие коммерческую тайну издания российской законодательной системы входит также ТКРФ, который регулирует отношения между работником и работодателем в контексте работы с КТ; а также ГКРФ (ч.4, глава 75: регулирует взаимоотношения владельца и контрагента, право на секрет производства и меру ответственности сторон). И, естественно, КоАП и УКРФ: в случаях нарушения режима КТ (как и требования любого другого федерального закона) должна быть предусмотрена хорошая полноценная ответственность. Останавливаться на конкретных особенностях в приведённых выше документах не будем (хотя это отдельная и не менее интересная тема), а ограничимся перечислением обусловленных 98-ым законом мер по защите КТ и на комментариях к ним.

Сама по себе защита КТ на коммерческом предприятии, вполне может являться (и часто является) центральным звеном в ИБ, что следует из определения информации, составляющей КТ, где сказано о том, что это информация, имеющая (внимание!) действительную коммерческую ценность в силу её неизвестности третьим лицам и разглашение которой, одновременно, может привести к убыткам предприятия. Если чётких обоснований и доказательств финансовой ценности информации, находящейся под грифом КТ, нет, то все попытки доказательства чего-либо в суде – можно смело утверждать – потерпят неудачу, потому первым и важным шагом защиты КТ должен стать полноценный анализ рисков разглашения и действительной финансовой ценности информации / возможных убытков в случае её разглашения. Приоритетной задачей защиты, говоря о КТ, понятное дело, является конфиденциальность, реализуемая в системе СЗКТ (система защиты КТ).

Правовое регулирование и порядок защиты коммерческой тайны

Посмотрим на меры по созданию системы защиты коммерческой тайны (СЗКТ). Вообще говоря, все необходимые (хотя, по моему мнению, являющиеся достаточными) меры перечислены в ст. 10 и ст. 11 федерального закона (98-ФЗ). Остаётся лишь повторить их с небольшими комментариями. Важный момент: закон регламентирует ответственность контрагентов и работников в случае нарушения режима КТ, правила соблюдения режима, указываемые в гражданско-правовом и трудовом договорах в случае несоблюдения режима КТ, НО: если обладатель информации, составляющей КТ (ИКТ) не выполнил предписанные 98-ФЗ методические меры (ст.10, ст. 11) по защите КТ, сама по себе КТ на этом предприятии сводится к нулю (т.к. будет признана недействительной в силу нарушения установления режима КТ, что будет видно ниже).

Итак, порядок действий по созданию СЗКТ:

1. Создать перечень информации, составляющей коммерческую тайну.

2. Установления порядка обращения с ИКТ.

3. Ознакомление работников с установленным режимом, перечнем ИКТ, а также мерой ответственности за нарушение режима КТ.

4. Учёт допущенных лиц.

5. Нанесение грифа КТ.

Какие документы являются обязательными для защиты персональных данных в организации при обработке в информационных системах персональных данных

Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных (выписка). ФСТЭК России, 2008 год

Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных. ФСТЭК России, 2008 год

Приказ ФСТЭК 21 «Об утверждении положения о методах и способах защиты информации в информационных системах персональных данных»

Приказ ФСТЭК России, ФСБ России, Мининформсвязи России от 13 декабря 2013 № 151/786/461 «Об утверждении Порядка проведения классификации информационных систем персональных данных»

ПП - 512 «Об утверждении требований к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных»

ПП - 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»

Исходя из каких критериев устанавливается периодичность проведения контролирующих мероприятий по информационной безопасности в организации.

Периодичность мероприятий по оценке ИБ устанавливаются в зависимости от скорости снижения эффективности защитных мер и процессов в системе организации ИБ. Такими мероприятиями как правило являются проверки. Проверки бывают:

· регулярные;

· плановые;

· внеплановые.

Регулярные контрольные мероприятия проводятся Администратором АИС периодически в соответствии с утвержденным Планом проведения контрольных мероприятий и предназначены для осуществления контроля выполнения требований в области защиты информации.

Плановые контрольные мероприятия проводятся постоянной комиссией периодически в соответствии с утвержденным Планом проведения контрольных мероприятий и направлены на постоянное совершенствование системы защиты информации.

Внеплановые контрольные мероприятия проводятся на основании решения комиссии по информационной безопасности (создается на период проведения мероприятий). Решение о проведении внеплановых контрольных мероприятий и созданию комиссии по информационной безопасности может быть принято в следующих случаях:

· по результатам расследования инцидента информационной безопасности;

· по результатам внешних контрольных мероприятий, проводимых регулирующими органами;

· по решению руководителя

Определение конфиденциальности

Обязательное для выполнения лицом, получившим доступ к определенной информации, требование не передавать такую информацию третьим лицам без согласия ее обладателя [из п. 12 Приложения А ГОСТ Р 50922-2006]

30. Целостность информации – состояние информации, при котором отсутствует любое ее изменение либо изменение осуществляется только преднамеренно субъектами, имеющими на него право. (Взято из «Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных (выписка)». ФСТЭК России, 2008 год).

Определение доступности

Доступность информации(ресурсов ис)- состояние информации(ресурсов ис), при котором субъекты, имеющие права доступа, могут реализовать их беспрепятственно. Право на чтение, копирование, изменение, использование, уничтожение информации и ресурсов.

Доступность: свойство информационных ресурсов, в том числе информации, определяющее возможность их получения и использования по требованию уполномоченных лиц.

32. Определение информации
информация - сведения (сообщения, данные) независимо от формы их представления

Статья 7. Общедоступная информация

1. К общедоступной информации относятся общеизвестные сведения и иная информация, доступ к которой не ограничен.

2. Общедоступная информация может использоваться любыми лицами по их усмотрению при соблюдении установленных федеральными законами ограничений в отношении распространения такой информации.

3. Обладатель информации, ставшей общедоступной по его решению, вправе требовать от лиц, распространяющих такую информацию, указывать себя в качестве источника такой информации.

Статья 11.Документирование информации

1. Законодательством Российской Федерации или соглашением сторон могут быть установлены требования к документированию информации.

2. В федеральных органах исполнительной власти документирование информации осуществляется в порядке, устанавливаемом Правительством Российской Федерации. Правила делопроизводства и документооборота, установленные иными государственными органами, органами местного самоуправления в пределах их компетенции, должны соответствовать требованиям, установленным Правительством Российской Федерации в части делопроизводства и документооборота для федеральных органов исполнительной власти.

Информация в зависимости от категории доступа к ней подразделяется на общедоступную информацию, а также на информацию, доступ к которой ограничен федеральными законами такая информация называется информацией ограниченного доступа

Не нашли, что искали? Воспользуйтесь поиском по сайту: