Similar presentations:
1С корпорация для ООО НТЦ «Галэкс»
1.
1С корпорация для ОООНТЦ «Галэкс»
ВЫПОЛНИЛ: СТУДЕНТ ГРУППЫ ИБ-91
ЗАРУБИН АРТЁМ
2.
Цели работы:подобрать перечень НПА в области
защиты информации
определить уровень защищённости
ИСПДн
необходимые меры защиты
перечень СЗИ
осуществить их установку и настройку.
3.
Проектирование системы защитыНормативно-правовая база:
1. НПА ФСБ;
2. НПА ФСТЭК;
3. Федеральные НПА.
4.
Перечень НПАФедеральный закон "О бухгалтерском учете" от 06.12.2011 N 402-ФЗ (последняя
редакция)
Федеральный закон №149 “Об информации, информационных технологиях и о
защите информации”
Федеральный закон №152 “О персональных данных”
Постановление правительства Российской Федерации от 01.11.2012 №1119 “Об
утверждении требований к защите персональных данных при их обработке в
информационных системах персональных данных”
Приказ ФСТЭК России от 18.02.2013 №21 “Состав и содержание организационных
и технических мер по обеспечению безопасности персональных данных при их
обработке в информационных системах персональных данных”
Политика в отношении обработки персональных данных в ООО НТЦ «Галэкс»
5.
Перечень защищаемых(обрабатываемых) данных
ФИО;
паспортные данные;
доходы;
должность;
идентификационный номер налогоплательщика;
номер страхового свидетельства государственного пенсионного
страхования профессия;
страховые взносы на ОПС, ОМС;
табельный номер;
данные о социальных льготах;
налоговые вычеты;
инвалидность.
6.
Актуальные угрозыВ 1С корпорация для ООО НТЦ «Галэкс»
обрабатываются специальные персональные
данные.
Для
организации
актуальны
угрозы,
не
связанные
с
не
декларированными
возможностями ПО, которые относятся к
угрозам 3-го типа.
7.
Уровень защищенности ИСПДнТребованиями к защите ПДн при их обработке в информационных
системах (Утв. Постановлением Правительства № 1119 от 01.11.2012)
установлены 4 уровня защищенности персональных данных,
различающихся перечнем необходимых к выполнению требований по
защите информационных систем.
В системе будут специальные ПДн, субъекты являются сотрудниками
организации и не являются, количество субъектов менее 100 тыс.,
актуальные угрозы не связаны с НДВ ПО. Следовательно, исходя
постановления Правительства, уровень защищенности персональных
данных – 3 УЗ.
8.
Технические и организационныемеры
В Приказе ФСТЭК России от 18.02.2013 N 21 «Об
утверждении Состава и содержания
организационных и технических мер по
обеспечению безопасности ПДн при их
обработке в ИСПДн» описаны меры, которые
необходимо принять для обеспечения защиты
обрабатываемых персональных данных в
соответствии с уровнем защищенности
ИСПДн.
9.
Основные меры защитыинформации
Организация режима обеспечения безопасности помещений, в которых
размещена информационная системаОпределение курга лиц, имеющих
доступ к обработке ПДн
Обеспечение сохранности носителей персональных данных
Утверждение руководителем оператора документа, определяющего
перечень лиц, доступ которых к персональным данным, обрабатываемым в
информационной систем
Использование средств защиты информации, прошедших процедуру
оценки соответствия требованиям законодательства Российской Федерации
в области обеспечения безопасности информации
необходимо, чтобы было назначено должностное лицо (работник),
ответственный за обеспечение безопасности персональных данных в
информационной системе.
10.
Технические мерыСогласно 21 Приказу ФСТЭК от 18 февраля
2013 г. в информационных системах 3 уровня
защищенности персональных данных
применяются средства защиты информации 6
класса и 6 уровня доверия, а также средства
вычислительной техники не ниже 5 класса.
В качестве операционной системы будет
использоваться Windows 10 Pro.
11.
Средства защиты информацииОбязательные СЗИ:
• средства антивирусной защиты 6 класса
• системы обнаружения вторжений 6 класса
• операционная система 6 класса
• средства контроля съемных машинных носителей
информации 6 класса
• СКЗИ
12.
Используемые СЗИ13.
ЗаключениеБыл определён перечень НПА, используемый при
разработке системы защиты информации ИС, определён
уровень защищённости ИСПДн 1С корпорация для
ООО
НТЦ
«Галэкс»,
сформирован
перечень
необходимых
документов
в
области
защиты
информации, определён перечень СЗИ, изучен порядок
их установки и настройки.