модель угроз

[Bad boy]

модель угроз. кто нибудь делал? фсб требует.

[MaSe]

может не ФСБ, а ФСТЭК ?

[Roha]

А какую информацию вы обрабатываете, неужели секретную? Модель угроз зависит от обрабатываемой информации.

[Bad boy]

уточнил :) сказали не в фсб на прямую, но требует минкультуры, они вроде для отчета в фсб. но точно не знаю, не с моих слов пишу.работаю в библе и на каждого читателя есть персональные данные, например прописка, паспорт телефон и т.д, все это я так понимаю следствие закона-"О защите персональных данных". Юрист мне нашла кучу всего, но что надо конкретно понять не могу. вот возник вопрос что и как делать эту "модель угроз"

[MaSe]

сюда зайди

РУКОВОДЯЩИЕ ДОКУМЕНТЫ ПО ОБЕСПЕЧЕНИЮ БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ

Постановление Правительства Российской Федерации от 17 ноября 2007 г. n 781 «Об утверждении положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных»

Федеральная служба по техническому и экспортному контролю. Федеральная служба безопасности Российской Федерации.Министерство информационных технологий и связи. Приказ №55/86/20 от 13 февраля 2008 года «Об утверждении порядка проведения классификации информационных систем персональных данных»

Приказ Федеральной службы по техническому и экспортному контролю от 5 февраля 2010 г. №58 «Об утверждении положения о методах и способах защиты информации в информационных системах персональных данных»

ФСТЭК России «Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных»

ФСТЭК России «Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных (выписка)»

ФСБ России «Типовые требования по организации и обеспечению функционирования шифровальных (криптографических) средств, предназначенных для защиты информации, не содержащей сведений, составляющих государственную тайну в случае их использования для обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных»

ФСБ России «Методические рекомендации по обеспечению с помощью криптосредств безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств автоматизации»

ФСБ России «Типовой регламент проведения в пределах полномочий мероприятий по контролю (надзору) за выполнением требований,установленных Правительством Российской Федерации, к обеспечению безопасности персональных данных при их обработке в информационных системах п

Положение о лицензировании деятельности по технической защите конфиденциальной информации, Утверждено постановлением Правительства Российской Федерации от 15 августа 2006 г. № 504

Положение по аттестации объектов информатизации по требованиям безопасности информации. Утверждено председателем Государственной технической комиссии при Президенте Российской Федерации 25 ноября 1994 г.

Защита персональных данных: Алгоритм действий. Редакция 2. 2010 год (методическая разработка для органов государственной власти и местного самоуправления Республики Алтай)

Примечание: в связи с изданием приказа ФСТЭК России от 5 февраля 2010 г. №58 «Об утверждении положения о методах и способах защиты информации в информационных системах персональных данных» с 15 марта 2010 года утратили силу ранее действовавшие «Рекомендации по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных» и «Основные мероприятия по организации и техническому обеспечению безопасности персональных данных, обрабатываемых в информационных системах персональных данных»

МЕТОДИЧЕСКИЕ МАТЕРИАЛЫ ПО ОБЕСПЕЧЕНИЮ БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ

(разработанные до издания приказа ФСТЭК России от 5 февраля 2010 г. №58

«Об утверждении положения о методах и способах защиты информации в информационных системах персональных данных» )

JetInfo «Защита персональных данных»

Csys.ru «Как защитить персональные данные»

LETA «Рекомендации по выполнению требований федерального закона «О персональных данных»

Алтэкс-Софт “Решения для защиты информационных систем персональных данных К3”

Методические рекомендации для организации защиты информации при обработке персональных данных в учреждениях здравоохранения, социальной сферы, труда и занятости

приложения к методическим рекомендациям

Методические рекомендации по составлению частной модели угроз безопасности персональных данных при их обработке в ИСПДн учреждений и организаций здравоохранения, социальной сферы, труда и занятости

Модель угроз типовой медицинской информационной системы (МИС) типового лечебно профилактического учреждения (ЛПУ)

Решения «Кода безопасности» для выполнения требований ФСТЭК к безопасности информационных систем

Администрация Тюменской области «Построение системы защиты информационных систем персональных данных»

МАТЕРИАЛЫ ПО ОБЕСПЕЧЕНИЮ БЕЗОПАСНОСТИ КОНФИДЕНЦИАЛЬНОЙ ИНФОРМАЦИИ

Положение «О государственной системе защиты информации в Российской Федерации от иностранных технических разведок и от ее утечки по техническим каналам» (Извлечения)

О мерах по обеспечению информационной безопасности Российской Федерации при использовании информационно-телекоммуникационных сетей международного информационного обмена

Классификация автоматизированных систем и требования по защите информации

Порядок создания автоматизированных систем в защищенном исполнении

Средства вычислительной техники. Защита от несанкционированного доступа к информации

Программное обеспечение средств защиты информации. Классификация по уровню контроля недекларированных возможностей

Специальные требования и рекомендации по технической защите конфиденциальной информации (СТР-К)

Техническая защита служебной информации: алгоритм действий (Методическая разработка для органов государственной власти и местного самоуправления Республики Алтай)

МАТЕРИАЛЫ СЕМИНАРА 30.03.2010

Содержание приказа Федеральной службы по техническому и экспортному контролю от 5 февраля 2010 г. №58 «Об утверждении положения о методах и способах защиты информации в информационных системах персональных данных» (презентация)

Организация работ по обеспечению безопасности конфиденциальной информации, обрабатываемой в государственных и муниципальных информационных системах (презентация)

[Roha]

Это надо не ФСБ а Роскомнадзору, именно они занимаютса проверкой защиты персональных данных. Вот их программа на 2010 год http://04.rsoc.ru/docs/4/plan2010u.rtf, вас там нет пока =). Гаишников щас проверяют =).
Начинать нада не с модели угроз а с приказа о назначении уполномоченых лиц которые будут заниматся защитой.
И вообще, вы подчиняетесь минкультуре а они Москве, вот и требуйте сних необходимый перечень документов и шаблонов по защите, это все должно с Москвы спускатся. Я так думаю

[Bad boy]

вот приказ в начале недели подписали, и меня назначили. вот надо отдуваться. насчет минкультуры вы наверно правы, надо их трясти что бы информации больше дали. А то сказали делай, а что как делать скромно промолчали.

[alex1]

Шаблоны и документы в помощь - http://depositfiles.com/files/8nxg5sfhx

[Bad boy]

спасибо. качаю.

[qrax]

Код: Выделить всё

 А то сказали делай, а что как делать скромно промолчали.

У меня почти то же самое, только в моем случае никто ничего не знает... вычитал очень много, но хотелось бы все на примере делать, как я понял первым делом проверяют(ФСТЭК) документацию... пока не ясно в каком порядке все делать, по выложенному архиву тоже не понятно какие документы конкретно надо заполнять, а какие не имеют отношения, там их куча, может кто нибудь скинет перечень всех документов? (в личку) =) не шаблоны, а готовые оформленные документы в качестве примера =) так проще =) понимаю что это конфиденциальная информацию, по этому гарантирую что не буду распространять, ознакомлюсь и удалю...

[Bad boy]

пока все молчат не делаю. как прижмут придется делать тогда отпишу чего нибудь.

[qrax]

понятно, буду ждать... заранее спасибо =)

[MaSe]

Все те же персональные данные — день Х переносится

А так же, привести свои информационные системы персональных данных в порядок нужно скорее всего уже не к 1 января 2011 года, а к 1 января 2012. Т.к. первое слушание изменений о переносе дня Х будет уже 7 декабря, то есть сегодня.

[Bad boy]

ну еще лучше, к тому времени надеюсь отправлюсь на поиски работы с зр побольше.

[Slash]

:) http://habrahabr.ru/blogs/infosecurity/109174/" onclick="window.open(this.href);return false;