ВВОД СЗ В ДЕЙСТВИЕ
Этапы создания системы ЗИ ГИС
ЭТАПЫ
ОРД
НПА
НПА
Уведомление не нужно
уведомление
уведомление
Уведомление
Пп от 21 марта 2012 г. N 211 г.
Пп от 21 марта 2012 г. N 211 г.
приказ ФСБ РФ от 10 июля 2014 г. №378
приказ ФСБ РФ от 10 июля 2014 г. №378
ПРИКАЗ ФАПСИ № 152
перечень ОРД по скзи
перечень ОРД по скзи
Практическая работа №4
Темы обучения
Внутренний контроль
Журнал учета СКЗИ
6.11M
Categories: softwaresoftware lawlaw
Similar presentations:
Защита персональных данных
Защита персональных данных
«Бумажная» безопасность
«Бумажная» безопасность
Национальная платежная система. Защита информации в НПС
Национальная платежная система. Защита информации в НПС
Требования к обеспечению безопасности персональных данных при их обработке в информационных системах. Лекция 2
Требования к обеспечению безопасности персональных данных при их обработке в информационных системах. Лекция 2
Защита персональных данных. Угрозы в области технической защиты информации. Оценка рисков
Защита персональных данных. Угрозы в области технической защиты информации. Оценка рисков
Организация работы по защите персональных данных
Организация работы по защите персональных данных
Институт правовой защиты персональных данных
Институт правовой защиты персональных данных
Информационная безопасность
Информационная безопасность
Работа с персональными данными. Федеральный закон РФ о персональных данных
Работа с персональными данными. Федеральный закон РФ о персональных данных
Институт правовой защиты персональных данных. Тема 6
Институт правовой защиты персональных данных. Тема 6

Ввод сз в действие

1. ВВОД СЗ В ДЕЙСТВИЕ

2. Этапы создания системы ЗИ ГИС

п.13 Приказа ФСТЭК России №17
2

3. ЭТАПЫ

4.

ПП
ПП РФ
РФ №676
№676
ГОСТ
ГОСТ 34.601-90
34.601-90
ГОСТ
ГОСТ 51583-2014
51583-2014
Приказ
Приказ ФСТЭК
ФСТЭК №17
№17
3. Внедрение системы ЗИ АСЗИ
ГОСТ
ГОСТ 34.603-92
34.603-92
Ввод
Ввод в
в действие
действие
ГОСТ
ГОСТ РО
РО 0043-003-2012
0043-003-2012
Аттестация
Аттестация АСЗИ
АСЗИ
ГОСТ
ГОСТ РО
РО 0043-004-2013
0043-004-2013
организуется
организуется заказчиком
заказчиком
проводится
проводится разработчиком
разработчиком
установка
установка и
и настройка
настройка СЗИ
СЗИ
разработка
разработка и
и внедрение
внедрение организационных
организационных мер
мер ЗИ
ЗИ
испытания
испытания
аттестацию
аттестацию АСЗИ
АСЗИ на
на соответствие
соответствие требованиям
требованиям по
по ИБ
ИБ
4

5. ОРД

6.

управления
управления (администрирования)
(администрирования) системой
системой защиты
защиты информации
информации
информационной
информационной системы
системы
выявления
выявления инцидентов,
инцидентов, которые
которые могут
могут привести
привести к
к сбоям
сбоям или
или
нарушению
нарушению функционирования
функционирования информационной
информационной системы
системы и
и (или)
(или) к
к
возникновению
возникновению угроз
угроз безопасности
безопасности информации
информации ,, и
и реагирования
реагирования на
на
них
них
управления
конфигурацией
аттестованной
управления
конфигурацией
аттестованной информационной
информационной
системы
системы и
и системы
системы защиты
защиты информации
информации информационной
информационной системы
системы
контроля
контроля (мониторинга)
(мониторинга) за
за
информации,
информации, содержащейся
содержащейся в
в
обеспечением
обеспечением уровня
уровня защищенности
защищенности
информационной
информационной системе
системе
защиты
информации
при
защиты
информации
при
информационной
информационной системы
системы или
или
окончании
окончании обработки
обработки информации
информации
выводе
из
эксплуатации
выводе
из
эксплуатации
после
после принятия
принятия решения
решения об
об
6

7.

заведение
заведение и
и удаление
удаление учетных
учетных записей
записей пользователей,
пользователей,
управление
управление полномочиями
полномочиями пользователей
пользователей информационной
информационной
системы
системы и
и поддержание
поддержание правил
правил разграничения
разграничения доступа
доступа в
в
информационной
информационной системе
системе
управление
управление средствами
средствами защиты
защиты информации
информации в
в информационной
информационной
системе,
системе, в
в том
том числе
числе параметрами
параметрами настройки
настройки программного
программного
обеспечения,
обеспечения, включая
включая программное
программное обеспечение
обеспечение средств
средств защиты
защиты
информации,
информации, управление
управление учетными
учетными записями
записями пользователей,
пользователей,
восстановление
восстановление работоспособности
работоспособности средств
средств защиты
защиты информации,
информации,
генерацию,
генерацию, смену
смену и
и восстановление
восстановление паролей
паролей
установка
установка обновлений
обновлений программного
программного обеспечения,
обеспечения, включая
включая
программное
обеспечение
средств
защиты
информации,
программное
обеспечение
средств
защиты
информации,
выпускаемых
выпускаемых разработчиками
разработчиками (производителями)
(производителями) средств
средств защиты
защиты
информации
информации или
или по
по их
их поручению
поручению
7

8.

централизованное
централизованное управление
управление системой
системой защиты
защиты информации
информации
информационной
информационной системы
системы (при
(при необходимости)
необходимости)
регистрация
регистрация и
и анализ
анализ событий
событий безопасности
безопасности
информирование
пользователей
об
безопасности
информирование
пользователей
об угрозах
угрозах
безопасности
информации,
информации, о
о правилах
правилах эксплуатации
эксплуатации системы
системы защиты
защиты
информации
информации информационной
информационной системы
системы и
и отдельных
отдельных средств
средств
защиты
защиты информации,
информации, а
а также
также их
их обучение
обучение
сопровождение
сопровождение функционирования
функционирования системы
системы защиты
защиты информации
информации
информационной
информационной системы
системы в
в ходе
ходе ее
ее эксплуатации,
эксплуатации, включая
включая
корректировку
корректировку эксплуатационной
эксплуатационной документации
документации на
на нее
нее и
и
организационно-распорядительных
документов
по
защите
организационно-распорядительных
документов
по
защите
информации
информации
8

9.

определение
определение
реагирование
реагирование
лиц,
лиц, ответственных
ответственных за
за выявление
выявление инцидентов
инцидентов и
и
на
на них
них
обнаружение
обнаружение и
и идентификация
идентификация инцидентов,
инцидентов, в
в том
том числе
числе отказов
отказов
в
в обслуживании,
обслуживании, сбоев
сбоев (перезагрузок)
(перезагрузок) в
в работе
работе технических
технических
средств,
программного
обеспечения
и
средств
защиты
средств,
программного
обеспечения
и
средств
защиты
информации,
нарушений
правил
разграничения
доступа,
информации,
нарушений
правил
разграничения
доступа,
неправомерных
неправомерных действий
действий по
по сбору
сбору информации,
информации, внедрений
внедрений
вредоносных
вредоносных компьютерных
компьютерных программ
программ (вирусов)
(вирусов) и
и иных
иных событий,
событий,
приводящих
приводящих к
к возникновению
возникновению инцидентов
инцидентов
своевременное
информирование
лиц,
ответственных
за
своевременное
информирование
лиц,
ответственных
за
выявление
выявление инцидентов
инцидентов и
и реагирование
реагирование на
на них,
них, о
о возникновении
возникновении
инцидентов
инцидентов в
в информационной
информационной системе
системе пользователями
пользователями и
и
администраторами
администраторами
9

10.

анализ
анализ инцидентов,
инцидентов, в
в том
том числе
числе определение
определение источников
источников и
и
причин
причин возникновения
возникновения инцидентов,
инцидентов, а
а также
также оценка
оценка их
их
последствий
последствий
планирование
планирование и
и принятие
принятие мер
мер по
по устранению
устранению инцидентов,
инцидентов, в
в том
том
числе
числе по
по восстановлению
восстановлению информационной
информационной системы
системы и
и ее
ее
сегментов
сегментов в
в случае
случае отказа
отказа в
в обслуживании
обслуживании или
или после
после сбоев,
сбоев,
устранению
устранению последствий
последствий нарушения
нарушения правил
правил разграничения
разграничения
доступа,
доступа, неправомерных
неправомерных действий
действий по
по сбору
сбору информации,
информации,
внедрения
внедрения вредоносных
вредоносных компьютерных
компьютерных программ
программ (вирусов)
(вирусов) и
и
иных
иных событий,
событий, приводящих
приводящих к
к возникновению
возникновению инцидентов
инцидентов
планирование
планирование и
и принятие
принятие мер
мер по
по предотвращению
предотвращению повторного
повторного
возникновения
возникновения инцидентов
инцидентов
10

11.

поддержание
поддержание конфигурации
конфигурации информационной
информационной системы
системы и
и ее
ее
системы
защиты
информации
в
соответствии
с
системы
защиты
информации
в
соответствии
с
эксплуатационной
документацией
на
систему
защиты
эксплуатационной
документацией
на
систему
защиты
информации
информации
определение
определение лиц,
лиц, которым
которым разрешены
разрешены действия
действия по
по внесению
внесению
изменений
изменений в
в базовую
базовую конфигурацию
конфигурацию информационной
информационной системы
системы и
и
ее
ее системы
системы защиты
защиты информации
информации
11

12.

управление
изменениями
базовой
конфигурации
управление
изменениями
базовой
конфигурации
информационной
информационной системы
системы и
и ее
ее системы
системы защиты
защиты информации,
информации, в
в
том
том числе
числе
определение
определение типов
типов возможных
возможных изменений
изменений базовой
базовой
конфигурации
конфигурации информационной
информационной системы
системы и
и ее
ее системы
системы
защиты
защиты информации,
информации,
санкционирование
санкционирование внесения
внесения изменений
изменений в
в базовую
базовую
конфигурацию
конфигурацию информационной
информационной системы
системы и
и ее
ее системы
системы
защиты
защиты информации,
информации,
документирование
документирование действий
действий по
по внесению
внесению изменений
изменений в
в
базовую
базовую конфигурацию
конфигурацию информационной
информационной системы
системы и
и ее
ее
системы
системы защиты
защиты информации,
информации,
сохранение
сохранение данных
данных об
об изменениях
изменениях базовой
базовой конфигурации
конфигурации
информационной
информационной системы
системы и
и ее
ее системы
системы защиты
защиты
информации,
информации,
контроль
контроль действий
действий по
по внесению
внесению изменений
изменений в
в базовую
базовую
конфигурацию
конфигурацию информационной
информационной системы
системы и
и ее
ее системы
системы
защиты
защиты информации
информации
12

13.

анализ
анализ потенциального
потенциального воздействия
воздействия планируемых
планируемых изменений
изменений в
в
базовой
базовой конфигурации
конфигурации ИС
ИС и
и ее
ее системы
системы защиты
защиты информации
информации на
на
обеспечение
обеспечение защиты
защиты информации,
информации, возникновение
возникновение дополнительных
дополнительных
угроз
безопасности
информации
и
работоспособность
угроз
безопасности
информации
и
работоспособность
информационной
информационной системы
системы
определение
определение параметров
параметров настройки
настройки программного
программного обеспечения,
обеспечения,
включая
включая программное
программное обеспечение
обеспечение средств
средств защиты
защиты информации,
информации,
состава
состава и
и конфигурации
конфигурации технических
технических средств
средств и
и программного
программного
обеспечения
обеспечения до
до внесения
внесения изменений
изменений в
в базовую
базовую конфигурацию
конфигурацию ИС
ИС и
и
ее
ее системы
системы защиты
защиты информации
информации
внесение
информации
внесение информации (данных)
(данных) об
об изменениях
изменениях в
в базовой
базовой
конфигурации
конфигурации информационной
информационной системы
системы и
и ее
ее системы
системы защиты
защиты
информации
информации в
в эксплуатационную
эксплуатационную документацию
документацию на
на систему
систему
защиты
защиты информации
информации ИС
ИС
принятие
принятие решения
решения по
по результатам
результатам управления
управления конфигурацией
конфигурацией о
о
повторной
повторной аттестации
аттестации ИС
ИС или
или проведении
проведении дополнительных
дополнительных
аттестационных
аттестационных испытаний
испытаний
13

14.

контроль
контроль за
за событиями
событиями безопасности
безопасности и
и действиями
действиями пользователей
пользователей
в
в ИС
ИС
контроль
контроль (анализ)
(анализ) защищенности
защищенности информации,
информации, содержащейся
содержащейся в
в
ИС
ИС
анализ
и
оценка
функционирования
системы
защиты
анализ
и
оценка
функционирования
системы
защиты
информации
информации ИС,
ИС, включая
включая выявление,
выявление, анализ
анализ и
и устранение
устранение
недостатков
недостатков в
в функционировании
функционировании системы
системы защиты
защиты информации
информации
информационной
информационной системы
системы
периодический
анализ
изменения
угроз
безопасности
периодический
анализ
изменения
угроз
безопасности
информации
информации в
в ИС,
ИС, возникающих
возникающих в
в ходе
ходе ее
ее эксплуатации,
эксплуатации, и
и
принятие
принятие мер
мер защиты
защиты информации
информации в
в случае
случае возникновения
возникновения новых
новых
угроз
угроз безопасности
безопасности информации
информации
документирование
процедур
и
результатов
контроля
документирование
процедур
и
результатов
контроля
(мониторинга)
за
обеспечением
уровня
защищенности
(мониторинга)
за
обеспечением
уровня
защищенности
информации,
информации, содержащейся
содержащейся в
в ИС
ИС
принятие
принятие решения
решения по
по результатам
результатам контроля
контроля (мониторинга)
(мониторинга) за
за
обеспечением
обеспечением уровня
уровня защищенности
защищенности информации
информации о
о доработке
доработке
(модернизации)
(модернизации) системы
системы защиты
защиты информации
информации ИС,
ИС, повторной
повторной
аттестации
аттестации ИС
ИС или
или проведении
проведении дополнительных
дополнительных аттестационных
аттестационных14
испытаний
испытаний

15.

15

16. НПА

17. НПА

ФЗ от 27.07.2006 № 152 «О персональных данных»
(ст.18.1)
18

18.

ФЗ от 27.07.2006 № 152 «О персональных данных»
Согласие
Согласие на
на обработку
обработку
19

19.

ФЗ от 27.07.2006 № 152 «О персональных данных»
Согласие
Согласие на
на обработку
обработку

20.

ФЗ от 27.07.2006 № 152 «О персональных данных», ст.
16
3. Оператор обязан разъяснить субъекту персональных данных порядок
принятия решения на основании исключительно автоматизированной
обработки его персональных данных и возможные юридические
последствия такого решения, предоставить возможность заявить
возражение против такого решения, а также разъяснить порядок защиты
субъектом персональных данных своих прав и законных интересов.
22

21.

ФЗ от 27.07.2006 № 152 «О персональных данных», ст.
14
Запрос должен содержать номер основного документа,
удостоверяющего личность субъекта персональных данных или
его представителя, сведения о дате выдачи указанного
документа и выдавшем его органе, сведения, подтверждающие
участие субъекта персональных данных в отношениях с
оператором (номер договора, дата заключения договора,
условное словесное обозначение и (или) иные сведения), либо
сведения, иным образом подтверждающие факт обработки
персональных данных оператором, подпись субъекта
персональных данных или его представителя. 
23

22.

ФЗ от 27.07.2006 № 152 «О персональных данных», ст.
20
Оператор обязан предоставить безвозмездно субъекту
персональных данных или его представителю возможность
ознакомления с персональными данными, относящимися к
этому субъекту персональных данных. В срок, не
превышающий семи рабочих дней со дня предоставления
субъектом персональных данных или его представителем
сведений, подтверждающих, что персональные данные являются
неполными, неточными или неактуальными, оператор обязан
внести в них необходимые изменения. В срок, не превышающий
семи рабочих дней со дня представления субъектом
персональных данных или его представителем сведений,
подтверждающих, что такие персональные данные являются
незаконно полученными или не являются необходимыми для
заявленной цели обработки, оператор обязан уничтожить такие
персональные данные. Оператор обязан уведомить субъекта
персональных данных или его представителя о внесенных
изменениях и предпринятых мерах и принять разумные меры
для уведомления третьих лиц, которым персональные данные
этого субъекта были переданы.
24

23.

ФЗ от 27.07.2006 № 152 «О персональных данных», ст.
21В случае выявления неправомерной обработки персональных
данных, осуществляемой оператором или лицом, действующим по
поручению оператора, оператор в срок, не превышающий трех
рабочих дней с даты этого выявления, обязан прекратить
неправомерную обработку персональных данных или обеспечить
прекращение неправомерной обработки персональных данных
лицом, действующим по поручению оператора. В случае, если
обеспечить правомерность обработки персональных данных
невозможно, оператор в срок, не превышающий десяти рабочих
дней с даты выявления неправомерной обработки персональных
данных, обязан уничтожить такие персональные данные или
обеспечить их уничтожение. Об устранении допущенных
нарушений или об уничтожении персональных данных
оператор обязан уведомить субъекта персональных данных
или его представителя, а в случае, если обращение субъекта
персональных данных или его представителя либо запрос
уполномоченного органа по защите прав субъектов персональных
данных были направлены уполномоченным органом по защите
прав субъектов персональных данных, также указанный орган.
25

24.

25.

26. Уведомление не нужно

27. уведомление

28. уведомление

ПП РФ от 01.11.2012 № 1119

п/п
Формулировка требований
Уровень защищенности
персональных данных
4
3
2
1
1.
Организация режима обеспечения безопасности помещений, в
которых размещена ИС, препятствующего возможности
неконтролируемого проникновения или пребывания в этих
помещениях лиц, не имеющих права доступа в эти помещения
+
+
+
+
2.
Обеспечение сохранности носителей персональных данных
+
+
+
+
3.
Утверждение оператором документа, определяющего
перечень лиц, доступ которых к персональным данным,
обрабатываемым в ИС, необходим для выполнения
служебных обязанностей
+
+
+
+
4.
Использование средств ЗИ, прошедших процедуру оценки
соответствия, в случае, когда применение таких средств
необходимо для нейтрализации угроз безопасности
+
+
+
+
5.
Назначение должностного лица (работника), ответственного за
обеспечение безопасности ПДн при их обработке в ИС
_
+
+
+
6.
Доступ к содержанию электронного журнала сообщений
-
-
+
+
7.
Автоматическая регистрация в электронном журнале безопасности
изменения полномочий администратора
_
_
_
+
8.
Создание структурного подразделения, ответственного за
обеспечение безопасности ПДн
_
_
_
+

29. Уведомление

ПП РФ от 15 сентября 2008 г. N 687
При
При использовании
использовании типовых
типовых форм
форм документов,
документов, характер
характер
информации
информации в
в которых
которых предполагает
предполагает или
или допускает
допускает
включение
включение в
в них
них ПДн,
ПДн, должны
должны соблюдаться
соблюдаться следующие
следующие
условия:
условия:
а) типовая форма или связанные с ней документы (инструкция по ее заполнению,
карточки, реестры и журналы) должны содержать сведения о цели обработки
персональных данных, осуществляемой без использования средств автоматизации,
имя (наименование) и адрес оператора, фамилию, имя, отчество и адрес субъекта
персональных данных, источник получения персональных данных, сроки
обработки персональных данных, перечень действий с персональными данными,
которые будут совершаться в процессе их обработки, общее описание
используемых оператором способов обработки персональных данных;
б) типовая форма должна предусматривать поле, в котором субъект персональных
данных может поставить отметку о своем согласии на обработку персональных
данных, осуществляемую без использования средств автоматизации, - при
необходимости получения письменного согласия на обработку персональных
данных;
в) типовая форма должна быть составлена таким образом, чтобы каждый из
субъектов персональных данных, содержащихся в документе, имел возможность
ознакомиться со своими персональными данными, содержащимися в документе, не
нарушая прав и законных интересов иных субъектов персональных данных;
г) типовая форма должна исключать объединение полей, предназначенных для
внесения персональных данных, цели обработки которых заведомо не совместимы.

30.

ПП РФ от 15 сентября 2008 г. N 687
2.
2. При
При ведении
ведении журналов
журналов (реестров,
(реестров, книг),
книг), содержащих
содержащих
персональные
персональные данные,
данные, необходимые
необходимые для
для однократного
однократного
пропуска
пропуска субъекта
субъекта персональных
персональных данных
данных на
на территорию,
территорию, на
на
которой
которой находится
находится оператор,
оператор, или
или в
в иных
иных аналогичных
аналогичных целях,
целях,
должны
должны соблюдаться
соблюдаться следующие
следующие условия:
условия:
а) необходимость ведения такого журнала (реестра, книги) должна быть
предусмотрена актом оператора, содержащим сведения о цели обработки
персональных данных, осуществляемой без использования средств
автоматизации, способы фиксации и состав информации, запрашиваемой у
субъектов персональных данных, перечень лиц (поименно или по должностям),
имеющих доступ к материальным носителям и ответственных за ведение и
сохранность журнала (реестра, книги), сроки обработки персональных данных, а
также сведения о порядке пропуска субъекта персональных данных на
территорию, на которой находится оператор, без подтверждения подлинности
персональных данных, сообщенных субъектом персональных данных;
б) копирование содержащейся в таких журналах (реестрах, книгах) информации
не допускается;
в) персональные данные каждого субъекта персональных данных могут
заноситься в такой журнал (книгу, реестр) не более одного раза в каждом случае
пропуска субъекта персональных данных на территорию, на которой находится
оператор.

31.

ПП РФ от 15 сентября 2008 г. N 687
3. Меры по обеспечению безопасности ПДн при их
обработке, осуществляемой без использования
средств автоматизации

32.

правила обработки персональных данных,
правила рассмотрения запросов субъектов персональных данных
или их представителей;
правила осуществления внутреннего контроля соответствия обработки персональных
данных требованиям к защите персональных данных, установленным Федеральным
законом "О персональных данных", принятыми в соответствии с ним нормативными
правовыми актами и локальными актами оператора;
правила работы с обезличенными данными;
перечень информационных систем персональных данных;
перечни персональных данных

33.

перечень должностей служащих государственного или муниципального
органа, ответственных за проведение мероприятий по обезличиванию
обрабатываемых ПДн;
перечень должностей служащих государственного или муниципального
органа, замещение которых предусматривает осуществление обработки ПДн
либо осуществление доступа к персональным данным;
должностная инструкция ответственного за организацию обработки ПДн в
государственном или муниципальном органе;
типовое обязательство служащего государственного или муниципального органа,
непосредственно осуществляющего обработку ПДн, в случае расторжения с ним
государственного или муниципального контракта прекратить обработку ПДн, ставших
известными ему в связи с исполнением должностных обязанностей;
типовая форма согласия на обработку ПДн служащих государственного или
муниципального органа, иных субъектов ПДн, а также типовая форма разъяснения
субъекту ПДн юридических последствий отказа предоставить свои ПДн;
порядок доступа служащих государственного или муниципального органа в
помещения, в которых ведется обработка ПДн;

34. Пп от 21 марта 2012 г. N 211 г.

35. Пп от 21 марта 2012 г. N 211 г.

36. приказ ФСБ РФ от 10 июля 2014 г. №378

37. приказ ФСБ РФ от 10 июля 2014 г. №378

Акт готовности к эксплуатации СКЗИ
Заключение о допуске пользователя к
СКЗИ
Заключение о возможности к
эксплуатации СКЗИ
Инструкции, регламентирующие процессы
подготовки, ввода, обработки, хранения и
передачи защищаемой с использованием
СКЗИ конфиденциальной информации

38. ПРИКАЗ ФАПСИ № 152

Перечень сотрудников, допущенных к
работе с СКЗИ
Приказ о назначении ответственного
пользователя СКЗИ
Инструкция ответственного пользователя
Журнал учёта СКЗИ
Форма акта уничтожения СКЗИ
Перечень хранилищ для СКЗИ
Акт ввода в эксплуатацию СКЗИ

39. перечень ОРД по скзи

реализация
реализация правил
правил разграничения
разграничения доступа,
доступа, регламентирующих
регламентирующих
права
права доступа
доступа субъектов
субъектов доступа
доступа к
к объектам
объектам доступа,
доступа, и
и введение
введение
ограничений
ограничений на
на действия
действия пользователей,
пользователей, а
а также
также на
на изменение
изменение
условий
условий эксплуатации,
эксплуатации, состава
состава и
и конфигурации
конфигурации технических
технических
средств
средств и
и программного
программного обеспечения
обеспечения
проверка
проверка полноты
полноты и
и детальности
детальности описания
описания в
в организационноорганизационнораспорядительных
распорядительных документах
документах по
по защите
защите информации
информации действий
действий
пользователей
пользователей и
и администраторов
администраторов информационной
информационной системы
системы по
по
реализации
реализации организационных
организационных мер
мер защиты
защиты информации
информации
отработка
отработка действий
действий должностных
должностных лиц
лиц и
и подразделений,
подразделений,
ответственных
ответственных за
за реализацию
реализацию мер
мер защиты
защиты информации
информации
41

40. перечень ОРД по скзи

Заполнить журналы (по две-три
записи в каждом)

41.

Положения законодательства Российской Федерации в
области защиты информации ограниченного доступа
Требования нормативных документов ФСТЭК и ФСБ России
в области защиты информации ограниченного доступа
Требования ОРД Организации, регламентирующей вопросы
обработки и защиты информации ограниченного доступа
Меры защиты информации ограниченного доступа,
применяемые в Организации
Правила работы со средствами защиты информации (в том
числе криптографическими)
Деятельность сотрудников Организации для защиты
информации ограниченного доступа

42. Практическая работа №4

Проверка ведения журнала учёта машинных
носителей информации
Проверка расположения средств отображения
информации
Проверка ведения журналов событий безопасности
Контроль состава технических средств,
программного обеспечения и средств защиты
информации
Контроль установки обновлений программного
обеспечения
Проверка управления идентификаторами и
средствами аутентификации
English     Русский Rules