2009 г. Методика минимизации затрат при создании системы защиты ПДн и алгоритм действий оператора персональных данных.

Презентация:

Advertisements

Похожие презентации

Защита персональных данных 2008 г.. CNews Forum 2008 Информация о компании О компании ReignVox - российская компания, специализирующаяся на разработках.

Advertisements

Этапы создания системы защиты персональных данных СПЕЦИАЛЬНЫЕ ВЫЧИСЛИТЕЛЬНЫЕ КОМПЛЕКСЫ Научно-производственное предприятие.

Защита персональных данных в информационных системах 24 ноября 2010 года.

Текущая ситуация Законодательство, нормативы ФЕДЕРАЛЬНЫЙ ЗАКОН РОССИЙСКОЙ ФЕДЕРАЦИИ ОТ 27 ИЮЛЯ 2006 Г. 152-ФЗ «О ПЕРСОНАЛЬНЫХ ДАННЫХ» ПОСТАНОВЛЕНИЕ ПРАВИТЕЛЬСТВА.

Общий порядок действий оператора по выполнению требований Федерального закона от ФЗ «О персональных данных»

М.Ю.Емельянников Заместитель коммерческого директора НИП «ИНФОРМЗАЩИТА» Защита персональных данных: алгоритм для законопослушных банков ИНФОРМАЦИОННАЯ.

В соответствии со статьей 19 Федерального закона «О персональных данных» Правительство Российской Федерации постановляет: Положение об обеспечении 1.

Законодательная и нормативная база правового регулирования вопросов защиты персональных данных. Руководящие документы по защите персональных данных Законодательная.

Федеральный закон о персональных данных. Необходимо: 1.Получать разрешение на обработку и передачу персональных данных. 2.Уведомлять РОСКОМНАДЗОР о том,

Персональные данные - любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу ( субъекту персональных.

Практический опыт оценки соответствия стандарту БАНКА РОССИИ СТО БР ИББС–1.0–2010 ( CNews FORUM 2010, 10 ноября) Лысенко Юрий Начальник Управления информационной.

Заместитель директора ООО «ИТ Энигма» по информационной безопасности Метальников Александр ОСНОВНЫЕ ВОПРОСЫ РАБОТЫ ИТ- СПЕЦИАЛИСТА ЛПУ ПО ЗАЩИТЕ ПДН.

Персональные данные (ПДн). Организация работы по защите ПДн в образовательном учреждении 14 апреля 2010 года.

Основные мероприятия по организации обеспечения безопасности персональных данных Выполнила студентка группы 11 инф 112: Анянова Радослава.

Так ли страшен черт или в чем риск ? ОАО ЭЛВИС-ПЛЮС ____________________ Москва, 29 сентября 2009 г.

2009 г. Об обеспечении безопасности персональных данных с использованием шифровальных (криптографических) средств.

УПРАВЛЕНИЕ ИНФОРМАТИЗАЦИИ ГОРОДА МОСКВЫ Организация работы в органах исполнительной власти города Москвы по защите информационных систем, обрабатывающих.

Проведение ведомственных выездных проверок организации защиты персональных данных при их обработке в учреждениях здравоохранения Челябинской области в.

Центр безопасности информации Оценка соответствия ИСПДн различных классов требованиям безопасности ПДн.

Управление Роскомнадзора по Республике Крым и городу Севастополь Контактный телефон: ( ) Сайт Управления : 1 Тема:

Транксрипт:

2009 г. Методика минимизации затрат при создании системы защиты ПДн и алгоритм действий оператора персональных данных

© ReignVox Действия оператора по выполнению требований Федерального закона Начинать надо с определения: переченя персональных данных категорий обрабатываемых персональных данных целей их обработки Затем: необходимо направить уведомление в Уполномоченный орган После этого: разработать систему защиты персональных данных разработать документы, регламентирующие обработку персональных данных в организации реализовать требования по инженерно- технической защите помещений провести аттестацию или осуществить декларирование соответствия по требованиям безопасности информации Защита персональных данных

© ReignVox Подход к решению задач по защите ПДн Защита персональных данных 3 1.Оптимальное логическое структурирование При помощи различных технологий минимизации: композиция/декомпозиция систем, обезличивание, разделение БД и т.д. 2.Отнесение системы к классу специальная Позволяет гибко понижать требования за счет отсутствия необходимости защиты от неактуальных угроз 3.Максимальное использование текущих средств защиты при разработке ТЗ Выполнение требований закона не превращается в закупку дорогого и ненужного программно-аппаратного обеспечения

© ReignVox Организационно-правовое направление работ Выявление наличия/отсутствия признаков организации работы с персональными данными Формирование перечня информации, относимой к персональным данным Формирование перечня информационных систем персональных данных Разработка или совершенствование существующей нормативной правовой базы, регламентирующей обработку персональных данных Защита персональных данных

© ReignVox Выявление наличия/отсутствия признаков организации работы с персональными данными анализ нормативной правовой базы, регламентирующей деятельность предприятия анализ функциональной структуры предприятия и схемы взаимодействия его подразделений анализ взаимодействия предприятия с внешними организациями анализ бизнес-процессов на предприятии с целью выявления наличия/отсутствия признаков организации работы с персональными данными Защита персональных данных

© ReignVox Формирование перечня информации, относимой к персональным данным определение правовых оснований для обработки персональных данных на предприятии категорирование персональных данных предприятия определение владельца персональных данных, обрабатываемых на предприятии выявление способов обработки персональных данных и действий с персональными данными специалистов предприятия: с использованием средств автоматизации без использования средств автоматизации выявление особенностей обработки персональных данных на предприятии: внутри одного подразделения в разных подразделениях предприятия в подразделениях с учетом филиальной сети с передачей персональных данных во внешние организации исследование возможности снижения категории персональных данных на основании оптимизации бизнес-процессов и правовых оснований для обработки персональных данных на предприятии Защита персональных данных

© ReignVox Формирование перечня информационных систем персональных данных определение правовых оснований для создания и использования информационных систем персональных данных на предприятии определение состава и структуры каждой информационной системы персональных данных и технических особенностей ее построения и функционирования, в том числе: состав и структура программного обеспечения технические средства обработки персональных данных топология информационной системы персональных данных определение состава и структуры информационного взаимодействия с внешними системами Защита персональных данных

© ReignVox Разработка или совершенствование существующей нормативной правовой базы, регламентирующей обработку персональных данных Административно-распорядительные документы предприятия, направленные на организацию работы с персональными данными Положение об обработке персональных данных Инструкция о порядке обработки персональных данных без использования средств автоматизации Инструкция о порядке обработки персональных данных с использованием средств автоматизации Должностные инструкции специалистов, непосредственно осуществляющих обработку персональных данных Соглашение о неразглашении сведений, составляющих персональные данные Регламент взаимодействия с внешними организациями при обработке персональных данных и т.д Защита персональных данных

© ReignVox Техническое направление работ Выявление уязвимых звеньев и возможных угроз безопасности персональным данным в информационной системе персональных данных Разработка концептуальных документов обеспечения безопасности персональных данных предприятия и в его информационных системах персональных данных Разработка новой или совершенствование существующей нормативной правовой базы, регламентирующей обеспечение безопасности в информационной системе персональных данных предприятия Организация работы с персональными данными в рамках разработки (модернизации) информационной системы персональных данных предприятия в соответствии с утвержденными концептуальными документами обеспечения безопасности персональных данных предприятия Защита персональных данных

© ReignVox СИСТЕМА ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ С ИСПОЛЬЗОВАНИЕМ СРЕДСТВ АВТОМАТИЗАЦИИ СИСТЕМА ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ БЕЗ ИСПОЛЬЗОВАНИЯ СРЕДСТВ АВТОМАТИЗАЦИИ ПЕРВИЧНАЯ КЛАССИФИКАЦИЯ СИСТЕМ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ Порядок классификации информационных систем ОПРЕДЕЛЕНИЕ ХАРАКТЕРИСТИК ПЕРСОНАЛЬНЫХ ДАННЫХ ИДЕНТИФИКАЦИЯ СИСТЕМ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ ИНФОРМАЦИЯ ОПЕРАТОРА Защита персональных данных

© ReignVox Характеристики безопасности персональных данных ОСНОВНЫЕ: Конфиденциальность (обязательное для соблюдения оператором или иным получившим доступ к персональным данным лицом требование не допускать их распространения без согласия субъекта персональных данных или наличия иного законного основания) Целостность (способность средства вычислительной техники или автоматизированной системы обеспечивать неизменность информации в условиях случайного и/или преднамеренного искажения/разрушения) Доступность (обеспечение доступа к информации и связанным с ней активам авторизованных пользователей по мере необходимости) Защита персональных данных

© ReignVox Характеристики безопасности персональных данных ДОПОЛНИТЕЛЬНЫЕ: Неотказуемость (способность доказать, что действие или событие произошло таким образом, что факт действия или события не может быть опровергнут) Учетность (обеспечение того, что действия субъекта по отношению к объекту могут быть прослежены уникально по отношению к субъекту) Аутентичность (идентичность объекта тому, что заявлено) Адекватность (свойство соответствия преднамеренному поведению и результатам) Защита персональных данных

© ReignVox Типовая система Требования ФСТЭК России и ФСБ России к информационным системам персональных данных ВЫБОР МЕР И СРЕДСТВ ЗАЩИТЫ КЛАССИФИКАЦИЯ ИНФОРМАЦИОННОЙ СИСТЕМЫ ПЕРСОНАЛЬНЫХ ДАННЫХ Защита персональных данных

© ReignVox Специальная система Конфиденциальность + …………… Информационные системы, в которых обрабатываются персональные данные, касающиеся состояния здоровья объектов персональных данных Информационные системы, в которых предусмотрено принятие на основании исключительно автоматизированной обработки персональных данных решений, порождающих юридические последствия в отношении субъекта персональных данных или иным образом затрагивающих его права и законные интересы Защита персональных данных

© ReignVox Специальная система Защита персональных данных Организационно- технические требования к системе защиты информации ДОКУМЕНТАЛЬНОЕ ОФОРМЛЕНИЕ ОПРЕДЕЛЕНИЕ АКТУАЛЬНЫХ УГРОЗ КЛАССИФИКАЦИЯ ИСПДн Требования ФСТЭК и ФСБ к ИСПДн ВЛИЯНИЕ НА БИЗНЕС-ПРОЦЕССЫ МИНИМИЗАЦИЯ ЗАТРАТ

© ReignVox Выявление уязвимых звеньев и возможных угроз безопасности персональным данным в информационной системе персональных данных Анализ информационных систем персональных данных, в том числе: Оценка возможности физического доступа к персональным данным Выявление возможных каналов утечки информации, в том числе с использованием программно-технических средств Анализ возможностей программно-математического воздействия на информационную систему персональных данных Анализ возможностей электромагнитного воздействия на информационную систему персональных данных Оценка ущерба от реализации угроз безопасности персональным данным Анализ имеющихся в распоряжении мер и средств защиты персональных данных Защита персональных данных

© ReignVox Формирование требований по обеспечению безопасности персональных данных при организации работы с ними составление перечня и проведение оценки актуальных угроз безопасности персональных данных разработка модели угроз безопасности персональных данных с учетом конкретных условий функционирования информационных систем персональных данных разработка модели нарушителя безопасности персональных данных с учетом конкретных условий функционирования информационных систем персональных данных, функциональных групп пользователей данных информационных систем персональных данных исследование возможности оптимизации требований к информационной системе персональных данных предприятия формирование требований по обеспечению безопасности Защита персональных данных

© ReignVox Обоснование требований по обеспечению безопасности персональных данных с использованием криптосредств определение целесообразности использования криптосредств в информационных системах персональных данных разработка модели угроз безопасности персональным данным, обрабатываемым с использованием криптосредств разработка модели нарушителя безопасности персональным данным, обрабатываемым с использованием криптосредств определение требуемого уровня криптографической защиты персональных данных определение требуемого уровня защиты от утечки по техническим каналам и защиты от НСД СВТ, на которых реализованы криптосредства Защита персональных данных

© ReignVox ВЫБОР МЕР И СРЕДСТВ ЗАЩИТЫ Требования ФСБ России информационной системе Информационная система по требованиям ФСБ России Требования ФСБ России к информационным системам персональных данных РАЗРАБОТКА МОДЕЛИ НАРУШИТЕЛЯ И КЛАССИФИКАЦИЯ ИНФОРМАЦИОННОЙ СИСТЕМЫ Защита персональных данных

© ReignVox Системы обработки персональных данных без использования средств автоматизации ВЫБОР МЕР И СРЕДСТВ ЗАЩИТЫ Требования законодательства Российской Федерации, ФСТЭК России и ФСБ России Постановление Правительства Российской Федерации от «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации» ОПРЕДЕЛЕНИЕ ПЕРЕЧНЯ «МАТЕРИАЛЬНЫХ НОСИТЕЛЕЙ» ДЛЯ ХРАНЕНИЯ ПЕРСОНАЛЬНЫХ ДАННЫХ ОПРЕДЕЛЕНИЕ УГРОЗ «МАТЕРИАЛЬНЫМ НОСИТЕЛЯМ» И ПЕРСОНАЛЬНЫМ ДАННЫМ ВЫРАБОТКА ТРЕБОВАНИЙ ОПЕРАТОРА ПО ЗАЩИТЕ ПЕРСОНАЛЬНЫХ ДАННЫХ Защита персональных данных

© ReignVox Обоснование требований по обеспечению безопасности персональных данных при взаимодействии с внешними организациями и их системами Проводится с учетом: требований Федерального закона «О персональных данных» категорий внешних информационных систем способов взаимодействия с ними и в соответствии: с требованиями руководящих документов федеральных органов исполнительной власти, уполномоченных в области обеспечения безопасности и в области противодействия техническим разведкам и технической защиты информации Защита персональных данных

© ReignVox ЧАСТНАЯ / ДЕТАЛИЗИРОВАННАЯ МОДЕЛЬ УГРОЗ ИНФОРМАЦИОННОЙ СИСТЕМЫ ПЕРСОНАЛЬНЫХ ДАННЫХ ТИПОВАЯ ОТРАСЛЕВАЯ МОДЕЛЬ УГРОЗ Система моделей угроз состав персональных данных предметные риски классы специальных информационных систем персональных данных БАЗОВАЯ МОДЕЛЬ / МОДЕЛЬ УГРОЗ ВЕРХНЕГО УРОВНЯ Защита персональных данных

© ReignVox Организация работы с персональными данными Необходимость организации работы обусловлена рядом факторов, среди которых: требование Федерального закона от года 152-ФЗ «О персональных данных» оператору о необходимости принятия организационных мер для защиты персональных данных от неправомерного доступа к ним отсутствие в Федеральном законе «О персональных данных» перечня нормативных правовых актов, наличие которого необходимо компании-оператору персональных данных для взаимодействия с Уполномоченным органом по защите прав субъектов персональных данных при проведении контрольно- надзорных мероприятий необходимость четкого взаимодействия с субъектами персональных данных при реализации оператором их прав на правомерную обработку их данных Защита персональных данных

© ReignVox Организация работы с персональными данными Позволит: оптимизировать бизнес-процессы компании, связанные с обработкой персональных данных снизить трудозатраты сотрудников компании, связанные с обработкой персональных данных и взаимодействием с субъектами персональных данных нормативно закрепить основы обработки персональных данных в компании сократить жалобы и обращения граждан в уполномоченные органы на действия оператора успешно проходить проверки контрольно- надзорных органов Защита персональных данных

© ReignVox Разработка концептуальных документов по обеспечению безопасности персональных данных Разработка концепции обеспечения безопасности персональных данных на предприятии Заказчика Разработка плана мероприятий по защите персональных данных на предприятии Заказчика Обоснование выбора оптимальных способов (мер и средств) защиты персональных данных в соответствии с задачами защиты Разработка технического задания на создание системы защиты персональных данных в рамках разработки (модернизации) информационной системы персональных данных в соответствии с утвержденной концепцией обеспечения безопасности Разработка финансово-экономического обоснования создания системы защиты персональных данных в рамках разработки (модернизации) информационной системы персональных данных в соответствии с утвержденной концепцией обеспечения безопасности Защита персональных данных

© ReignVox Организация работы в рамках разработки (модернизации) информационной системы персональных данных в соответствии с концептуальными документами проведение работ по созданию системы защиты персональных данных в рамках разработки (модернизации) информационной системы персональных данных в соответствии с утвержденными концептуальными документами разработка эксплуатационной документации на систему защиты персональных данных проведение мероприятий по получению лицензии ФСТЭК России по технической защите конфиденциальной информации проведение развертывания и ввода в опытную эксплуатацию технических средств защиты персональных данных осуществление доработки системы защиты персональных данных по результатам опытной эксплуатации аттестация (декларирование соответствия) автоматизированной системы Защита персональных данных

© ReignVox ЗАО "Рэйнвокс" , Москва, Старопетровский проезд, 7а Тел:+7 (495) Факс:+7 (495) Спасибо за внимание!