Файл: Защита сетевой инфраструктуры предприятия.pdf

Приложение 1.

Обязательные требования по защите информационных систем персональных данных

Основные обязательные требования к организации системы защиты информации в зависимости от класса типовой ИСПДн:

Для ИСПДн класса 4:

Перечень мероприятий по защите персональных данных определяется оператором (в зависимости от возможного ущерба)

Для ИСПДн класса 3:

• декларирование соответствия или обязательная аттестация по требованиям безопасности информации

• получение лицензии ФСТЭК России на деятельность по технической защите конфиденциальной информации (для распределенных систем ИСПДн К3)

Для ИСПДн класса 2:

• обязательная аттестация по требованиям безопасности информации

• должны быть реализованы мероприятия по защите персональных данных от ПЭМИН

• получение лицензии ФСТЭК России на деятельность по технической защите конфиденциальной информации для распределенных систем

Для ИСПДн класса 1:

• обязательная аттестация по требованиям безопасности информации

• должны быть реализованы мероприятия по защите персональных данных от ПЭМИН

• получение лицензии ФСТЭК России на деятельность по технической защите конфиденциальной информации

Приложение 2.

Порядок действий по защите информационной системы персональных данных

Последовательность действий при выполнении требований законодательства по обработке персональных данных:

Уведомление в уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществлять обработку персональных данных с использованием средств автоматизации;

Предпроектное обследование информационной системы - сбор исходных данных;

Классификация системы обработки персональных данных;

Построение частной модели угроз с целью определения их актуальности для информационной системы;

Разработка частного технического задания на систему защиты персональных данных;

Проектирование системы защиты персональных данных;

Реализация и внедрение системы защиты персональных данных;

Выполнение требований по инженерной защите помещений, требований по пожарной безопасности, охране, электропитанию и заземлению, санитарных и экологических требований;

Аттестация (сертификация) по требованиям безопасности информации;

Повышение квалификации сотрудников в области защиты персональных данных;

Сопровождение (аутсорсинг) системы защиты персональных данных.

Приложение 3. Требования безопасности при работе в сети Интернет

При работе с электронной почтой не открывать письма и вложения к ним, полученные от неизвестных отправителей, не переходить по содержащимся в таких письмах ссылкам.

Своевременно обновлять операционную систему (установка патчей, критичных обновлений).

Не использовать права администратора при отсутствии необходимости. В повседневной практике входить в систему как пользователь, не имеющий прав администратора.

Установить и своевременно обновлять на компьютере антивирусное программное обеспечение (NOD32, AVP Kaspersky, Symantec AntiVirus и т.д.).

Антивирусное ПО должно быть запущено постоянно с момента загрузки компьютера. Рекомендуется полная еженедельная проверка компьютера на наличие вирусов, удаление обнаруженного вредоносного ПО.

При выходе в Интернет использовать сетевые экраны (Kerio winroute, Outpost firewall и т.п.), разрешив доступ только к доверенным ресурсам сети Интернет.

Запретить в межсетевом экране соединение с сетью Интернет по протоколам ftp, smtp. Разрешить соединения smtp только с конкретными почтовыми серверами, на которых зарегистрированы Ваши электронные почтовые ящики.

Не давать разрешения неизвестным программам выходить в сеть Интернет. При работе в интернет не соглашаться на установку каких-либо дополнительных программ.

Воздерживаться от использования программ онлайнового общения (таких, как ICQ) на компьютере, использующемся для работы с системой ДБО.

Размещено на Allbest.ru