'

Комплексный подход к вопросам обеспечения информационной безопасности и защиты персональных данных в министерствах Республики Татарстан ГАТИЯТУЛЛИНА ЭЛЬМИРА МАРАТОВНА НАЧАЛЬНИК ОТДЕЛА ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ЦЕНТРА ИНФОРМАЦИОННЫХ ТЕХНОЛОГИЙ РЕСПУБЛИКИ ТАТАРСТАН

Понравилась презентация – покажи это...





Слайд 0

Комплексный подход к вопросам обеспечения информационной безопасности и защиты персональных данных в министерствах Республики Татарстан ГАТИЯТУЛЛИНА ЭЛЬМИРА МАРАТОВНА НАЧАЛЬНИК ОТДЕЛА ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ЦЕНТРА ИНФОРМАЦИОННЫХ ТЕХНОЛОГИЙ РЕСПУБЛИКИ ТАТАРСТАН


Слайд 1

Ключевые элементы системы обеспечения информационной безопасности Республики Татарстан Infosecurity Russia - 2009 29 сентября 2009 года, г. Москва


Слайд 2

Система контроля состояния информационной безопасности и выполнения требований законодательства в области защиты ПДн Infosecurity Russia - 2009 29 сентября 2009 года, г. Москва


Слайд 3

Результаты анализа состояния ИБ в организациях республики на 2006 год Infosecurity Russia - 2009 29 сентября 2009 года, г. Москва


Слайд 4

Реализованное решение в 2006 и 2007 гг. Infosecurity Russia - 2009 29 сентября 2009 года, г. Москва принято Распоряжение Кабинета Министров Республики Татарстан №733-р от 07.06.06г. «О мерах по обеспечению информационной безопасности», распоряжение Кабинета Министров Республики Татарстан №1011-р от 16.07.07г. «О плане по реализации мер информационной безопасности в министерствах Республики Татарстан», назначить лица, ответственные за ИБ в министерствах и ведомствах выделить средства на реализацию мероприятий разработать комплект типовых организационных распорядительных документов в области информационной безопасности провести аттестацию информационных систем, в которых обрабатывается информация ограниченного доступа, в том числе персональные данные


Слайд 5

Финансирование мероприятий в области информационной безопасности Infosecurity Russia - 2009 29 сентября 2009 года, г. Москва


Слайд 6

Основные проекты, реализованные в министерствах и ведомствах Республики Татарстан Infosecurity Russia - 2009 29 сентября 2009 года, г. Москва обучение должностных лиц, ответственных за информационную безопасность в министерствах и ведомствах (2006 год); аудит 23 информационных систем органов исполнительной власти (2007 год – совместно с компанией «Элвис Плюс»); аттестация 13 ЛВС (100 объектов ВТ) в 8 органах исполнительной власти по классу защищенности 1Г, в которых обрабатываются персональные данные (2007-2008 гг.); установлены и настроены 23 сертифицированных межсетевых экрана, а также средства криптографической защиты информации.


Слайд 7

Распоряжение Президента Республики Татарстан от 3 августа 2009 г. №181 Infosecurity Russia - 2009 29 сентября 2009 года, г. Москва


Слайд 8

Обеспечение безопасности ИСПДн органов местного самоуправления республики Infosecurity Russia - 2009 29 сентября 2009 года, г. Москва назначены лица, ответственные за защиту персональных данных в муниципальных образованиях Республики Татарстан проведено обучение лиц, ответственных за защиту персональных данных в муниципальных образованиях Республики Татарстан выделены средства на реализацию мероприятий по защите ПДн разработан комплект типовых организационных распорядительных документов в области защиты персональных данных проведена классификация информационных систем, в которых обрабатываются персональные данные необходимо реализовать мероприятия по защите персональных данных, обрабатывающихся в информационных системах, в том числе провести аттестацию такого рода систем


Слайд 9

Защита ПДн в информационных системах Республики Тататрстан Infosecurity Russia - 2009 29 сентября 2009 года, г. Москва Автоматизированная информационная система «Регистрация актов гражданского состояния Управления ЗАГС Кабинета Министров Республики Татарстан» (АИС «ЗАГС) Автоматизированная информационная система «Центральный архив медицинских изображений » (АИС «ЦАМИ»)


Слайд 10

ЗАКОНОДАТЕЛЬСТВО Федеральный закон от 15 ноября 1997 г. №143-ФЗ «Об актах гражданского состояния» Федеральный закон от 27 июня 2006 г. №152-ФЗ «О персональных данных» Федеральный закон от 27 июня 2006 г. №149-ФЗ «Об информации, информационных технологиях и о защите информации» Закон Республики Татарстан от 30 декабря 2005 г. №146-ЗРТ «О наделении органов местного самоуправления в Республике Татарстан полномочиями на государственную регистрацию актов гражданского состояния» Закон Республики Татарстан от 08 июня 1992 г. №1560-XII «О государственных языках Республики Татарстан и других языках в Республике Татарстан» (в редакции от 28 июля 2004 г.) Закон Республики Татарстан от 13 ноября 2007 г. №58-ЗРТ «Об информационных системах и информатизации Республики Татарстан». Инфофорум, г. Казань 19 июня 2009 года


Слайд 11

2007 г. принято решение о создании единой централизованной системы АИС «ЗАГС» ЭТАПЫ РЕАЛИЗАЦИИ ПРОЕКТА АИС «ЗАГС» 2008 г. проектирование, создание и развертывание АИС «ЗАГС» 17 августа 2008 г. началась опытная эксплуатация АИС «ЗАГС» в г. Казани (7 отделов ЗАГС, 80 рабочих мест) 1 февраля 2009 г. началась опытная эксплуатация АИС «ЗАГС» в муниципальных районах Республики Татарстан (43 отдела ЗАГС, более 150 рабочих мест) 1 января 2010 г. Аттестация АИС «ЗАГС» в соответствии с требованиями ФЗ «О персональных данных» 260 рабочих мест Инфофорум, г. Казань 19 июня 2009 года


Слайд 12

КАКИЕ ПРЕИМУЩЕСТВА ПОЛУЧИЛИ ОРГАНЫ ЗАГС С НОВОЙ ИНФОРМАЦИОННОЙ СИСТЕМОЙ Полная ревизия электронного архива: данные с 1990 года консолидированы в единый информационный ресурс Доступ к данным в режиме реального времени Система автоматически проводит строгий контроль корректности данных в электронном архиве – в него нельзя ввести неполную или ошибочную информацию Выгрузка данных для межведомственного обмена стала безошибочной и проводится 2 сотрудниками в Управлении ЗАГС Появилась возможность гибко перераспределять работу между сотрудниками, ранее у каждого рабочего места была специализация Нет территориальной привязки информационного ресурса Infosecurity Russia - 2009 29 сентября 2009 года, г. Москва


Слайд 13

ИСТОРИЯ СОЗДАНИЯ НОВОЙ ИНФОРМАЦИОННОЙ СИСТЕМЫ ОРГАНОВ ЗАГС РЕСПУБЛИКИ ТАТАРСТАН Управление ЗАГС Кабинета Министров Республики Татарстан (центральная база данных) Районный отдел ЗАГС: (компьютеры, собственная база данных, передача данных вручную) Районный отдел ЗАГС: («тонкие клиенты», электронная связь с центральной базой) … всего 43 районных ЗАГС-а Отдел ЗАГС в муниципальном образовании («тонкие клиенты», электронная связь с центральной базой) … всего 999 муниципальных образований …КАК БЫЛО КАК СТАЛО… «Тонкие» клиенты ОТСУТСТВИЕ полномочий и автоматизации на уровне муниципальных образований Отдел ЗАГС в муниципальном образовании («тонкие клиенты», электронная связь с центральной базой) Infosecurity Russia - 2009 29 сентября 2009 года, г. Москва


Слайд 14

ОСОБЕННОСТИ ИНФОРМАЦИОННОЙ СИСТЕМЫ ПО «Застава Клиент» (сертификат ФСТЭК) ПО «Крипто Про» (сертификат ФСБ) ОС Linux (тонкий клиент) ПО «Застава Клиент» (сертификат ФСТЭК) ПО «Крипто Про» (сертификат ФСБ) ОС Linux (терминальные сервер) Сертифицированный VPN-туннель и межсетевое экранирование Сертифицированное шифрование данных ВНУТРИ ТОНКОГО КЛИЕНТА НЕТ ПЕРСОНАЛЬНЫХ ДАННЫХ! ВСЯ СИСТЕМА РАБОТАЕТ НА СВОБОДНОМ ПРОГРАММНОМ ОБЕСПЕЧЕНИИ Infosecurity Russia - 2009 29 сентября 2009 года, г. Москва


Слайд 15

ОСОБЕННОСТИ ИНФОРМАЦИОННОЙ СИСТЕМЫ Infosecurity Russia - 2009 29 сентября 2009 года, г. Москва Подсистема терминального доступа Подсистема обнаружения вторжений и межсетевого экранирования Подсистема криптографической защиты Подсистема мониторинга и удаленного управления Подсистема резервного копирования и восстановления Подсистема антивирусной защиты


Слайд 16

ОБЪЕМ ВНЕДРЕНИЯ АИС ЗАГС 3 2 2 1 2 2 2 3+29 2 2 2 2 2 2 2 5 6 13 3 13 2 2 2 2 2 2 5 5 3 3 4 2 2 6 2 2 2 2 2 2 2 2 2 80 2008 г. Окт-дек 2008 г. Февраль 2009 г. Infosecurity Russia - 2009 29 сентября 2009 года, г. Москва


Слайд 17

ПРИМЕР ОСНАЩЕНИЯ РАЙОННОГО И СЕЛЬСКОГО ОТДЕЛА ЗАГС ПО «Застава Клиент» (сертификат ФСТЭК) ПО «Крипто Про» (сертификат ФСБ) ОС Linux (тонкий клиент) ПО «Застава Клиент» (сертификат ФСТЭК) ПО «Крипто Про» (сертификат ФСБ) ОС Linux (терминальный сервер) Сертифицированный VPN-туннель и межсетевое экранирование Сертифицированное шифрование данных КАК ПРАВИЛЬНО КЛАССИФИЦИРОВАТЬ И АТТЕСТОВАТЬ ИНФОРМАЦИОННУЮ СИСТЕМУ? Infosecurity Russia - 2009 29 сентября 2009 года, г. Москва


Слайд 18

Совместный Приказ ФСТЭК, ФСБ и Мининформсвязи от 13.02.2008 №55/86/20 Типовая информационная система – информационная система, в которых требуется обеспечение только конфиденциальность данных. Специальная информационная система – информационная система, в которых вне зависимости от необходимости обеспечения конфиденциальности персональных данных требуется обеспечить хотя бы одну из характеристик безопасности персональных данных, отличную от конфиденциальности (защищенность от уничтожения, изменения, блокирования, а также иных несанкционированных действий). Infosecurity Russia - 2009 29 сентября 2009 года, г. Москва


Слайд 19

Обследование территориально распределенной системы Разработка частной модели угроз Разработка проекта на АИС ЗАГС (согласование проекта во ФСТЭК) Проведение мероприятий по аттестации автоматизированной системы Выдача аттестата соответствия требованиям безопасности информации Этапы аттестации АИС ЗАГС Infosecurity Russia - 2009 29 сентября 2009 года, г. Москва


Слайд 20

Подключение новых рабочих мест в поселениях РТ к ИС ЗАГС Обеспечение выполнения требований Аттестата соответствия при включении в систему новых рабочих мест ЗАДАЧИ НА 2010 ГОД Infosecurity Russia - 2009 29 сентября 2009 года, г. Москва


Слайд 21

Состав автоматизированной информационной системы «Центральный архив медицинских изображений» Совещание Коллегии ФСТЭК России 10 июля 2009 года, г. Москва DICOM-шлюз – локальный сервер в лечебно-профилактических учреждениях для осуществления временного хранения и передачи изображений в ЦАМИ Рабочие места врачей, просмотровые станции, места для коллективной работы Организация корпоративной сети, объединяющей высокотехнологичные медицинские центры Комплекс программно-аппаратных средств обеспечения информационной безопасности системы Infosecurity Russia - 2009 29 сентября 2009 года, г. Москва


Слайд 22

ОСОБЕННОСТИ ИНФОРМАЦИОННОЙ СИСТЕМЫ Сертифицированное межсетевое экранирование Сертифицированная криптография ОС Windows (толстый клиент) Сертифицированное межсетевое экранирование Сертифицированная криптография ОС Windows (web сервер) Сертифицированный VPN-туннель и межсетевое экранирование Сертифицированное шифрование данных Совещание Коллегии ФСТЭК России 10 июля 2009 года, г. Москва Infosecurity Russia - 2009 29 сентября 2009 года, г. Москва Защита от НСД Защита от НСД ПЕРСОНАЛЬНЫЕ ДАННЫЕ ОБРАБАТЫВАЮТСЯ И СОХРАНЯЮТСЯ НА РАБОЧИХ МЕСТАХ ПОЛЬЗОВАТЕЛЕЙ. НЕОБХОДИМА ЗАЩИТА ОТ НСД!


Слайд 23

Защита ПДн в информационных системах Республики Тататрстан Infosecurity Russia - 2009 29 сентября 2009 года, г. Москва Разные системы – единый подход к обеспечению безопасности персональных данных: Частная модель угроз Классификация ИСПДн Проектирование подсистемы защиты информации Реализация проекта Подготовка к аттестации Проведение мероприятий по аттестации АИС «ЗАГС» АИС «ЦАМИ»


Слайд 24

организовать работы по аттестации автоматизированных систем, обрабатывающих персональные данные, в органах местного самоуправления Республики Татарстан; использовать опыт внедрения системы в защищенном исполнении Управления ЗАГС Кабинета Министров Республики Татарстан для построения систем с аналогичной архитектурой в учреждениях здравоохранения, БТИ, других распределенных системах; провести мониторинг состояния информационной безопасности и уровня защищенности персональных данных в органах власти, органах муниципального самоуправления, операторов связи, банковских структурах, организациях и предприятиях, относящихся к критически важным объектам и осуществляющих свою деятельность на территории республики; организовать подготовку специалистов по защите персональных данных в сельских поселениях Республики Татарстан. Первоочередные задачи в области информационной безопасности и защиты персональных данных Совещание Коллегии ФСТЭК России 10 июля 2009 года, г. Москва Infosecurity Russia - 2009 29 сентября 2009 года, г. Москва


Слайд 25

СПАСИБО ЗА ВНИМАНИЕ! ГАТИЯТУЛЛИНА ЭЛЬМИРА МАРАТОВНА НАЧАЛЬНИК ОТДЕЛА ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ЦЕНТРА ИНФОРМАЦИОННЫХ ТЕХНОЛОГИЙ РЕСПУБЛИКИ ТАТАРСТАН


×

HTML:





Ссылка: